Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2757-1 wordpress

Debians sikkerhedsbulletin

DSA-2757-1 wordpress -- flere sårbarheder

Rapporteret den:

14. sep 2013

Berørte pakker:

wordpress

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 722537.
I Mitres CVE-ordbog: CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739.

Yderligere oplysninger:

Flere sårbarheder blev registreret i Wordpress, et webbloggingværktøj. Da CVE'erne blev tildelt ud fra udgivelsesannonceringer og specifikke rettelser normalt ikke angives, har man besluttet at opgradere Wordpress-pakken til den seneste opstrømsversion, i stedet for at tilbageføre rettelserne.

Det betyder at man skal være særlig omhyggelig under opgraderingen, især når man benytter tredjepartsplugins eller -temaer, forbi kompabiliteten kan være påvirket. Vi anbefaler at brugerne kontrollerer deres installering, før opgraderingen gennemføres.

• CVE-2013-4338

  Usikker PHP-afserialisering i wp-includes/functions.php kunne forårsage udførelse af vilkårlig kode.

• CVE-2013-4339

  Utilstrækkelig fornuftighedskontrol af inddata kunne medføre viderestilling eller at få en bruger sendt til et andet websted.

• CVE-2013-4340

  Rettighedsforøgelse gjorde det muligt for en bruger med author-rollen, at oprette en post, der udgiver sig for at være skrevet af en anden bruger.

• CVE-2013-5738

  Utilstrækkelige muligheder var krævet for at kunne uploade .html-/.html-filer, hvilket gjorde det lettere for autentificereede brugere at udføre skriptangreb på tværs af websteder (XSS), ved at anvende fabrikerede HTML-filuploads.

• CVE-2013-5739

  Wordpress' standardopsætning gjorde det muligt at uploade .swf-/.exe-filer, hvilket gjorde det lettere for autentificerede brugere at udføre skriptangreb på tværs af websteder (XSS).

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 3.6.1+dfsg-1~deb6u1.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.6.1+dfsg-1~deb7u1.

I distributionen testing (jessie), er disse problemer rettet i version 3.6.1+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 3.6.1+dfsg-1.

Vi anbefaler at du opgraderer dine wordpress-pakker.