Рекомендация Debian по безопасности

DSA-2757-1 wordpress -- несколько уязвимостей

Дата сообщения:
14.09.2013
Затронутые пакеты:
wordpress
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 722537.
В каталоге Mitre CVE: CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739.
Более подробная информация:

В Wordpress, инструменте для веб-блоггинга, были обнаружены несколько уязвимостей. Поскольку идентификационные номера CVE были убраны из анонсов выпусков и конкретные исправления очень сложно определить, было решено обновить пакет Wordpress до актуальной версии основной ветки разработки, а не переносить назад заплаты.

Это подразумевает, что при обновлении следует быть внимательным, особенно при использовании плагинов или тем от третьих лиц, поскольку во время обновления может быть нарушена совместимость. Мы рекомендуем, чтобы пользователи проверили свои настройки до выполнения обновления.

  • CVE-2013-4338

    Небезопасная десериализация PHP в wp-includes/functions.php может вызвать выполнение произвольного кода.

  • CVE-2013-4339

    Недостаточная проверка ввода может приводить к перенаправлению или приводить пользователя на другой веб-сайт.

  • CVE-2013-4340

    Повышение привилегий позволяет пользователю с другой авторской ролью создавать объект, который выглядит как написанный другим пользователем.

  • CVE-2013-5738

    Недостаточные возможности требовались для загрузки файлов .html/.html, что облегчало авторизованным пользователям выполнять атаки по межсайтовому скриптингу (XSS), используя загрузку специально подготовленного файла html.

  • CVE-2013-5739

    Настройка Wordpress по умолчанию разрешала загрузку файлов .swf/.exe, что облегчало авторизованным пользователям выполнять атаки по межсайтовому скриптингу (XSS).

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.6.1+dfsg-1~deb6u1.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.6.1+dfsg-1~deb7u1.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 3.6.1+dfsg-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.6.1+dfsg-1.

Мы рекомендуем вам обновить ваши пакеты wordpress.