Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2901-1 wordpress

Säkerhetsbulletin från Debian

DSA-2901-1 wordpress -- säkerhetsuppdatering

Rapporterat den:

2014-04-12

Berörda paket:

wordpress

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 744018.
I Mitres CVE-förteckning: CVE-2014-0165, CVE-2014-0166.

Ytterligare information:

Flera sårbarheter har upptäckts i Wordpress, ett verktyg för webbloggning. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2014-0165

  En användare med rollen bidragslämnare kan med hjälp av en speciellt skapad förfrågan publicera poster som är reserverade för användare med nästa högre roll.

• CVE-2014-0166

  Jon Cave från WordPress säkerhetsgrupp upptäckte att funktionen wp_validate_auth_cookie i wp-includes/pluggable.php inte tillräckligt avgör validiteten i autentiseringskakor, vilket kan tillåta en angripare att få åtkomst via en förfalskad kaka.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 3.6.1+dfsg-1~deb6u2.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.6.1+dfsg-1~deb7u2.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 3.8.2+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.8.2+dfsg-1.

Vi rekommenderar att ni uppgraderar era wordpress-paket.