Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2901-1 wordpress

Bulletin d'alerte Debian

DSA-2901-1 wordpress -- Mise à jour de sécurité

Date du rapport :

12 avril 2014

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 744018.
Dans le dictionnaire CVE du Mitre : CVE-2014-0165, CVE-2014-0166.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Wordpress, un outil de blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2014-0165

  Un utilisateur avec un rôle de contributeur, utilisant une requête contrefaite pour l'occasion, peut publier des articles, ce qui est réservé à des utilisateurs dotés d'un rôle supérieur.

• CVE-2014-0166

  Jon Cave de l'équipe de sécurité de WordPress a découvert que la fonction wp_validate_auth_cookie dans wp-includes/pluggable.php ne détermine pas correctement la validité des cookies d'authentification, permettant à un attaquant distant d'obtenir un accès à l'aide d'un cookie falsifié.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb6u2.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u2.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 3.8.2+dfsg-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.8.2+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.