Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2757-1 wordpress

Säkerhetsbulletin från Debian

DSA-2757-1 wordpress -- flera sårbarheter

Rapporterat den:

2013-09-14

Berörda paket:

wordpress

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 722537.
I Mitres CVE-förteckning: CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739.

Ytterligare information:

Flera sårbarheter har upptäckts i Wordpress, ett bloggverktyg för webben. Eftersom CVEerna allokerades från utgåvetillkännagivanden och specifika rättningar vanligtvis inte identifieras har det beslutats att uppgradera wordpresspaketet till senaste uppströmsversionen istället för att bakåtportera felrättningarna.

Detta betyder att man skall vara extra försiktig när man uppgraderar, speciellt när man använder insticksmoduler eller teman från tredje part, eftersom kompatibiliteten kan ha påverkats under gången. Vi rekommenderar att användare kontrollerar sin installation innan de uppgraderar.

• CVE-2013-4338

  Osäker PHP-avserialisering i wp-includes/functions.php kunde orsaka exekvering av skadlig kod.

• CVE-2013-4339

  Otillräcklig validering av indata kunde resultera i omdirigering eller ledning av en användare till en annan webbplats.

• CVE-2013-4340

  Privilegieeskalering vilket tillät en användare med författarrollen att skapa ett inlägg som framstog som om det hade skapats av en annan användare.

• CVE-2013-5738

  Otillräckliga möjligheter krävdes för att ladda upp .html/.html-filer, vilket gjorde det lättare för autentiserade användare att genomföra domänöverskridande skriptangrepp (XSS) med hjälp av upladdning av skapade html-filer.

• CVE-2013-5739

  Wordpress standardkonfiguration tillät uppladdningar av .swf/.exe-filer, vilket gjorde det lättare för autentiserade användare att genomföra domänöverskridande skriptangrepp (XSS).

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 3.6.1+dfsg-1~deb6u1.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.6.1+dfsg-1~deb7u1.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 3.6.1+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.6.1+dfsg-1.

Vi rekommenderar att ni uppgraderar era wordpress-paket.