Debians sikkerhedsbulletin
DSA-1564-1 wordpress -- flere sårbarheder
- Rapporteret den:
- 1. maj 2008
- Berørte pakker:
- wordpress
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2007-3639, CVE-2007-4153, CVE-2007-4154, CVE-2007-0540.
- Yderligere oplysninger:
-
Flere fjernudnytbare sårbarheder er opdaget i WordPress, et webloghåndteringsprogram. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CVE-2007-3639
Utilstrækkelig fornufighedskontrol af inddata gjorde det muligt for fjernangribere at omdirigere besøgende til eksterne websteder.
- CVE-2007-4153
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder gjorde det muligt for autentificerede administratorer at indsprøjte vilkårligt webskript eller HTML.
- CVE-2007-4154
SQL-indsprøjtningssårbarhed gjorde det muligt for fjern autentificerede administratorer at udføre vilkårlig SQL-kommandoer.
- CVE-2007-0540
WordPress gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service, båndbredde- eller tråd-forbrug) via pingback-servicekald med en kilde-URI, der svarede til en fil med en binær indholdstype, som blev hentet selv om den ikke kunne indeholde brugbare pingbackdata.
- [endnu intet CVE-navn]
Utilstrækkelig fornuftighedskontrol af inddata forårsagede at en angriber med en normal brugerkonto kunne tilgå administratorbrugerfladen.
I den stabile distribution (etch), er disse problemer rettet i version 2.0.10-1etch2.
I den ustabile distribution (sid), er disse problemer rettet i version 2.2.3-1.
Vi anbefaler at du opgraderer din wordpress-pakke.
- CVE-2007-3639
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.diff.gz
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.dsc
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.