Bulletin d'alerte Debian

DSA-2757-1 wordpress -- Plusieurs vulnérabilités

Date du rapport :
14 septembre 2013
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 722537.
Dans le dictionnaire CVE du Mitre : CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Wordpress, un outil de blog. Comme les CVE ont été alloués à partir de plusieurs annonces de publication et que les corrections spécifiques ne sont généralement pas identifiées, il a été décidé de mettre le paquet wordpress à niveau vers la dernière version amont au lieu de rétroporter les correctifs.

Cela signifie qu'une attention particulière est requise lors de la mise niveau, en particulier quand des greffons ou thèmes tiers sont utilisés, puisque la compatibilité peut avoir été affectée. Nous recommandons aux utilisateurs de vérifier leur installation avant de procéder à la mise niveau.

  • CVE-2013-4338

    Une désérialisation PHP non sûre dans wp-includes/fonctions.php pourrait causer l'exécution de code arbitraire.

  • CVE-2013-4339

    Une validation d'entrée insuffisante pourrait rediriger ou mener un utilisateur vers un autre site web.

  • CVE-2013-4340

    Une augmentation de droits permet à un utilisateur ayant le rôle d'auteur de créer une entrée apparaissant comme écrite par un autre utilisateur.

  • CVE-2013-5738

    Des capacités insuffisantes étaient requises pour téléverser des fichiers .html/.html, ce qui simplifie les attaques par script intersite (XSS) pour les utilisateurs authentifiés utilisant des fichiers html contrefaits.

  • CVE-2013-5739

    La configuration par défaut de Wordpress permettait le téléversement de fichiers .swf/.exe, ce qui simplifie les attaques par script intersite (XSS) pour les utilisateurs authentifiés.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb6u1.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u1.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.