Bulletin d'alerte Debian

DLA-1216-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :

21 décembre 2017

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 883314.
Dans le dictionnaire CVE du Mitre : CVE-2017-17091, CVE-2017-17092, CVE-2017-17093, CVE-2017-17094.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans wordpress, un outil de blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

CVE-2017-17091
wp-admin/user-new.php dans WordPress règle la clef newbloguser à une chaîne pouvant être directement dérivée de l’identifiant de l’utilisateur. Cela permet à des attaquants distants de contourner les restrictions d’accès désirées en entrant cette chaîne.
CVE-2017-17092
wp-includes/functions.php dans WordPress ne demande pas la capacité unfiltered_html pour le téléversement de fichiers .js. Cela pourrait permettre à des attaquants distants de mener des attaques XSS à l'aide d'un fichier contrefait.
CVE-2017-17093
wp-includes/general-template.php dans WordPress ne restreint pas correctement l’attribut de langue d’un élément HTML. Cela pourrait permettre à des attaquants de mener des attaques XSS à l’aide du réglage de langage d’un site.
CVE-2017-17094
wp-includes/feed.php dans WordPress ne restreint pas correctement les limites dans des champs RSS ou Atom. Cela pourrait permettre à des attaquants de mener des attaques XSS à l'aide d'une URL contrefaite.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u20.

Nous vous recommandons de mettre à jour vos paquets wordpress.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.