Информация по безопасности / 2014 / Информация о безопасности -- DSA-2901-1 wordpress

Рекомендация Debian по безопасности

DSA-2901-1 wordpress -- обновление безопасности

Дата сообщения:

12.04.2014

Затронутые пакеты:

wordpress

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 744018.
В каталоге Mitre CVE: CVE-2014-0165, CVE-2014-0166.

Более подробная информация:

В Wordpress, инструменте для ведения блога в веб, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2014-0165

  Пользователь, имеющий роль участника, используя специально сформированный запрос, может публиковать сообщения, что зарезервировано для пользователей следующей, более высокой роли.

• CVE-2014-0166

  Джон Кэйв из команды безопасности WordPress обнаружил, что функция wp_validate_auth_cookie в wp-includes/pluggable.php неправильно определяет корректность куки авторизации, что даёт возможность удалённому атакующему, использующему специально подготовленные куки, получить доступ.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.6.1+dfsg-1~deb6u2.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.6.1+dfsg-1~deb7u2.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 3.8.2+dfsg-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.8.2+dfsg-1.

Рекомендуется обновить пакеты wordpress.