Рекомендация Debian по безопасности
DSA-1564-1 wordpress -- многочисленные уязвимости
- Дата сообщения:
- 01.05.2008
- Затронутые пакеты:
- wordpress
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2007-3639, CVE-2007-4153, CVE-2007-4154, CVE-2007-0540.
- Более подробная информация:
-
В WordPress, программе для управления блогом, было обнаружено несколько удалённых уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2007-3639
Недостаточная очистка входных данных позволяет удалённым злоумышленникам перенаправлять посетителей на внешние веб-сайты.
- CVE-2007-4153
Многочисленные случаи межсайтового скриптинга позволяют удалённым аутентифицированным администраторам вводить произвольный веб-сценарий или код HTML.
- CVE-2007-4154
SQL-инъекция позволяет удалённым аутентифицированным администраторам выполнять произвольные команды SQL.
- CVE-2007-0540
WordPress позволяет удалённым злоумышленникам вызывать отказ в обслуживании (чрезмерное потребление полосы пропускания или потока) с помощью вызовов службы автоматического уведомления с исходным URI, соответствующем файлу с двоичным типом содержимого, который загружается даже в том случае, если получить полезные данные для автоматического уведомления нельзя.
- [идентификатор CVE пока отсутствует]
Недостаточная очистка входных данных позволяет злоумышленнику с учётной записью обычного пользователя получить доступ к интерфейсу администратора.
В стабильном выпуске (etch) эти проблемы были исправлены в версии 2.0.10-1etch2.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.2.3-1.
Рекомендуется обновить пакет wordpress.
- CVE-2007-3639
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.diff.gz
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.dsc
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.