Debians sikkerhedsbulletin
DSA-3085-1 wordpress -- sikkerhedsopdatering
- Rapporteret den:
- 3. dec 2014
- Berørte pakker:
- wordpress
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 770425.
I Mitres CVE-ordbog: CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039. - Yderligere oplysninger:
-
Adskillige sikkerhedsproblemer er opdaget i Wordpress, et webbloggingværktøj, medførende lammelsesangreb (denial of service) eller informationsafsløring. Flere oplysninger finder man i opstrøms bulletin på https://wordpress.org/news/2014/11/wordpress-4-0-1/
- CVE-2014-9031
Jouko Pynnonen opdagede sårbarhed i forbindelse med uautentificeret udførelse af skripter på tværs af servere (XSS) i wptexturize(), udnytbar via kommentarer eller indlæg.
- CVE-2014-9033
En sårbarhed i forbindelse med forfalskning af forespørgsler på tværs af websteder (CSRF) i processen til ændring af adgangskoder, kunne udnyttes af en angriber til at narre en bruger til at ændre sin adgangskode.
- CVE-2014-9034
Javier Nieto Arevalo og Andres Rojas Guerrero rapporterede om et potentielt lammelsesangreb i den måde, phpass-biblioteket anvendes til at håndtere adgangskoder, da der ikke var opsat en maksimal adgangskodelængde.
- CVE-2014-9035
John Blackbourn rapporterede om et XSS i funktionen
Press This
(anvendes til hurtig udgivelse vha. af en browsersbookmarklet
). - CVE-2014-9036
Robert Chapin rapporterede om et XSS i HTML-filtreringen af CSS i indlæg.
- CVE-2014-9037
David Anderson rapporterede om en hashsammenligningssårbarhed vedrørende adgangskoder, som gemmes på den gammeldags MD5-manér. Om end det er usandsynligt, kunne sårbarheden udnyttes til at kompromittere en konto, hvis brugeren ikke var logget på efter en opdatering til Wordpress 2.5 (uploadet til Debian den 2. april 2008) og adgangskodens MD5-hash kunne der blive kolliderer med på grund af dynamisk sammenligning i PHP.
- CVE-2014-9038
Ben Bidner rapporterede eom forespørgselsforfalskning på serversiden (SSRF) i kerne-HTTP-laget, der på utilstrækkelig vis blokerede loopback-IP-adresserummet.
- CVE-2014-9039
Momen Bassel, Tanoy Bose og Bojan Slavkovic rapporterede om en sårbarhed i processen til nulstilling af adgangskoder: En mailadresseændring ugyldiggjorde ikke en tidligere mail vedrørende nulstilling af adgangskoden.
I den stabile distribution (wheezy), er disse problemer rettet i version 3.6.1+dfsg-1~deb7u5.
I den kommende stabile distribution (jessie), er disse problemer rettet i version 4.0.1+dfsg-1.
I den ustabile distribution (sid), er disse problemer rettet i version 4.0.1+dfsg-1.
Vi anbefaler at du opgraderer dine wordpress-pakker.
- CVE-2014-9031