セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2901-1 wordpress

Debian セキュリティ勧告

DSA-2901-1 wordpress -- セキュリティ更新

報告日時:

2014-04-12

影響を受けるパッケージ:

wordpress

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 744018.
Mitre の CVE 辞書: CVE-2014-0165, CVE-2014-0166.

詳細:

複数の脆弱性がウェブ上のブログ管理ツール Wordpress に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2014-0165

  寄稿者権限のあるユーザが、特別に細工したリクエストにより 上位の投稿者権限の操作である投稿の公開が可能です。

• CVE-2014-0166

  WordPress セキュリティチームの Jon Cave さんが、wp-includes/pluggable.php の wp_validate_auth_cookie 関数が認証クッキーの有効性を適切に判定していないことを発見しました。 改竄したクッキーによりリモートの攻撃者にアクセス権限の取得を許します。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 3.6.1+dfsg-1~deb6u2 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.6.1+dfsg-1~deb7u2 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 3.8.2+dfsg-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 3.8.2+dfsg-1 で修正されています。

直ちに wordpress パッケージをアップグレードすることを勧めます。