Debians sikkerhedsbulletin
DSA-2901-1 wordpress -- sikkerhedsopdatering
- Rapporteret den:
- 12. apr 2014
- Berørte pakker:
- wordpress
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 744018.
I Mitres CVE-ordbog: CVE-2014-0165, CVE-2014-0166. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i Wordpress, et værktøj til webblogging. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2014-0165
En bruger med en contributor-rolle, kunne ved hjælp af en særligt fremstillet forespørgsel, udgive indlæg, hvilket er modsat for brugere af den næste, højere rolle.
- CVE-2014-0166
Jon Cave fra WordPress' sikkerhedshold, opdagede at funktionen wp_validate_auth_cookie i wp-includes/pluggable.php ikke på korrekt vis afgjorde autentifikationscookies gyldighed, hvilket gjorde det muligt for en fjernangriber at få adgang via en forfalsket cookie.
I den gamle stabile distribution (squeeze), er disse problemer rettet i version 3.6.1+dfsg-1~deb6u2.
I den stabile distribution (wheezy), er disse problemer rettet i version 3.6.1+dfsg-1~deb7u2.
I distributionen testing (jessie), er disse problemer rettet i version 3.8.2+dfsg-1.
I den ustabile distribution (sid), er disse problemer rettet i version 3.8.2+dfsg-1.
Vi anbefaler at du opgraderer dine wordpress-pakker.
- CVE-2014-0165