LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-418-1 wordpress

Bulletin d'alerte Debian

DLA-418-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :

17 février 2016

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 813697.
Dans le dictionnaire CVE du Mitre : CVE-2016-2221, CVE-2016-2222.

Plus de précisions :

Les versions 4.4.1 et précédentes sont affectées par deux problèmes de sécurité : une vulnérabilité possible de contrefaçon de requête côté serveur (« server-side request forgery ») pour certains URI locaux, signalée par Ronni Skansin et une vulnérabilité de redirection non contrôlée, signalée par Shailesh Suthar.

• CVE-2016-2221

  Wordpress pourrait être vulnérable à une attaque de redirection non contrôlée qui a été corrigée par une meilleure validation de l’URL utilisé dans les redirections HTTP.

• CVE-2016-2222

  Wordpress était sensible à une vulnérabilité de contrefaçon de requête, par exemple, il pourrait considérer 0.1.2.3 comme une IP valable.

Pour Debian 6 Squeeze, ce problème a été corrigé dans la version 3.6.1+dfsg-1~deb6u9.

Nous vous recommandons de mettre à jour vos paquets wordpress.