Bulletin d'alerte Debian

DLA-1151-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :
31 octobre 2017
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 876274, Bogue 877629.
Dans le dictionnaire CVE du Mitre : CVE-2016-9263, CVE-2017-14718, CVE-2017-14719, CVE-2017-14720, CVE-2017-14721, CVE-2017-14722, CVE-2017-14723, CVE-2017-14725, CVE-2017-14990.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans wordpress, un outil de blog web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2016-9263

    Quand l’exécution dans un bac à sable de flashmediaelement.swf n’est pas utilisée, cela permet à des attaquants distants de mener des attaques par injection Flash interdomaine (XSF) en exploitant du code contenu dans le fichier wp-includes/js/mediaelement/flashmediaelement.swf.

    Ce problème a été résolu par la suppression complète de flashmediaelement.swf.

  • CVE-2017-14718

    WordPress était sujet à une attaque par script intersite dans le modèle de lien à l'aide d'une URL javascript: ou data:.

  • CVE-2017-14719

    WordPress était vulnérable à une attaque par traversée de répertoires lors d’opérations unzip dans les composants ZipArchive et PclZip.

  • CVE-2017-14720

    WordPress permettait une attaque par script intersite dans la vue de liste de modèles à l'aide d'un nom de modèle contrefait.

  • CVE-2017-14721

    WordPress permettait un script intersite dans l’éditeur de greffon à l'aide d’un nom de greffon contrefait.

  • CVE-2017-14722

    WordPress permettait une attaque par traversée de répertoires dans le composant Customizer à l'aide d'un nom de fichier de thème contrefait.

  • CVE-2017-14723

    WordPress gérait incorrectement les caractères % et les valeurs supplémentaires de paramètres fictifs dans $wpdb->prepare, et par conséquent, ne traitait pas correctement la possibilité de greffons et de thèmes d’établir une attaque par injection SQL.

  • CVE-2017-14725

    WordPress était sujet à une attaque de redirection ouverte dans wp-admin/user-edit.php.

  • CVE-2017-14990

    WordPress stocke en texte pur des valeurs de clef wp_signups.activation_key (mais stocke les valeurs analogues wp_users.user_activation_key sous forme de hachages), ce qui facilite pour des attaquants distants le détournement de comptes inactifs d’utilisateurs en exploitant l’accès en lecture à la base de données (tel qu’un accès obtenu à travers une vulnérabilité non précisée d’injection SQL).

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u17.

Nous vous recommandons de mettre à jour vos paquets wordpress.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.