Säkerhetsbulletin från Debian

DSA-2757-1 wordpress -- flera sårbarheter

Rapporterat den:
2013-09-14
Berörda paket:
wordpress
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 722537.
I Mitres CVE-förteckning: CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739.
Ytterligare information:

Flera sårbarheter har upptäckts i Wordpress, ett bloggverktyg för webben. Eftersom CVEerna allokerades från utgåvetillkännagivanden och specifika rättningar vanligtvis inte identifieras har det beslutats att uppgradera wordpresspaketet till senaste uppströmsversionen istället för att bakåtportera felrättningarna.

Detta betyder att man skall vara extra försiktig när man uppgraderar, speciellt när man använder insticksmoduler eller teman från tredje part, eftersom kompatibiliteten kan ha påverkats under gången. Vi rekommenderar att användare kontrollerar sin installation innan de uppgraderar.

  • CVE-2013-4338

    Osäker PHP-avserialisering i wp-includes/functions.php kunde orsaka exekvering av skadlig kod.

  • CVE-2013-4339

    Otillräcklig validering av indata kunde resultera i omdirigering eller ledning av en användare till en annan webbplats.

  • CVE-2013-4340

    Privilegieeskalering vilket tillät en användare med författarrollen att skapa ett inlägg som framstog som om det hade skapats av en annan användare.

  • CVE-2013-5738

    Otillräckliga möjligheter krävdes för att ladda upp .html/.html-filer, vilket gjorde det lättare för autentiserade användare att genomföra domänöverskridande skriptangrepp (XSS) med hjälp av upladdning av skapade html-filer.

  • CVE-2013-5739

    Wordpress standardkonfiguration tillät uppladdningar av .swf/.exe-filer, vilket gjorde det lättare för autentiserade användare att genomföra domänöverskridande skriptangrepp (XSS).

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 3.6.1+dfsg-1~deb6u1.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.6.1+dfsg-1~deb7u1.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 3.6.1+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.6.1+dfsg-1.

Vi rekommenderar att ni uppgraderar era wordpress-paket.