Debians sikkerhedsbulletin

DSA-2757-1 wordpress -- flere sårbarheder

Rapporteret den:
14. sep 2013
Berørte pakker:
wordpress
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 722537.
I Mitres CVE-ordbog: CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739.
Yderligere oplysninger:

Flere sårbarheder blev registreret i Wordpress, et webbloggingværktøj. Da CVE'erne blev tildelt ud fra udgivelsesannonceringer og specifikke rettelser normalt ikke angives, har man besluttet at opgradere Wordpress-pakken til den seneste opstrømsversion, i stedet for at tilbageføre rettelserne.

Det betyder at man skal være særlig omhyggelig under opgraderingen, især når man benytter tredjepartsplugins eller -temaer, forbi kompabiliteten kan være påvirket. Vi anbefaler at brugerne kontrollerer deres installering, før opgraderingen gennemføres.

  • CVE-2013-4338

    Usikker PHP-afserialisering i wp-includes/functions.php kunne forårsage udførelse af vilkårlig kode.

  • CVE-2013-4339

    Utilstrækkelig fornuftighedskontrol af inddata kunne medføre viderestilling eller at få en bruger sendt til et andet websted.

  • CVE-2013-4340

    Rettighedsforøgelse gjorde det muligt for en bruger med author-rollen, at oprette en post, der udgiver sig for at være skrevet af en anden bruger.

  • CVE-2013-5738

    Utilstrækkelige muligheder var krævet for at kunne uploade .html-/.html-filer, hvilket gjorde det lettere for autentificereede brugere at udføre skriptangreb på tværs af websteder (XSS), ved at anvende fabrikerede HTML-filuploads.

  • CVE-2013-5739

    Wordpress' standardopsætning gjorde det muligt at uploade .swf-/.exe-filer, hvilket gjorde det lettere for autentificerede brugere at udføre skriptangreb på tværs af websteder (XSS).

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 3.6.1+dfsg-1~deb6u1.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.6.1+dfsg-1~deb7u1.

I distributionen testing (jessie), er disse problemer rettet i version 3.6.1+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 3.6.1+dfsg-1.

Vi anbefaler at du opgraderer dine wordpress-pakker.