Debian セキュリティ勧告
DSA-3085-1 wordpress -- セキュリティ更新
- 報告日時:
- 2014-12-03
- 影響を受けるパッケージ:
- wordpress
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 770425.
Mitre の CVE 辞書: CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039. - 詳細:
-
複数のセキュリティ問題がウェブ上のブログ管理ツール Wordpress に確認されています。サービス拒否や情報漏洩につながります。 さらなる情報が上流の勧告にあります: https://wordpress.org/news/2014/11/wordpress-4-0-1/
- CVE-2014-9031
Jouko Pynnonen さんが wptexturize() にクロスサイトスクリプティング脆弱性 (XSS) を発見しています。コメントや投稿を経由し、認証不要で悪用可能です。
- CVE-2014-9033
パスワード変更プロセスにクロスサイトリクエストフォージェリ (CSRF) 脆弱性があり、攻撃者が悪用してユーザを騙し、 パスワードを変えさせることが可能です。
- CVE-2014-9034
Javier Nieto Arevalo さんと Andres Rojas Guerrero さんが、phpass ライブラリをパスワードの処理に利用している方法で パスワードの最大長が設定されていないことによる、 潜在的なサービス拒否を報告しています。
- CVE-2014-9035
John Blackbourn さんが、
Press This
機能 (ブラウザのブックマークレット
を利用してすぐ公開する機能) に XSS を報告しています。 - CVE-2014-9036
Robert Chapin さんが、投稿内容の CSS に対する HTML フィルター処理に XSS を報告しています。
- CVE-2014-9037
David Anderson さんが、旧式の MD5 スキームを利用した保存されているパスワードのハッシュ比較に脆弱性を報告しています。 これを悪用してアカウントを侵害することは不可能なようですが、ユーザが Wordpress 2.5 への更新 (Debian には2008年4月2日にアップロード) 以後にログインしていない場合は PHP の動的比較が元でパスワードの MD5 ハッシュが衝突する可能性があります。
- CVE-2014-9038
Ben Bidner さんがコアの HTTP 層にサーバサイドリクエストフォージェリ (SSRF) を報告しています。ループバック IP アドレス空間を十分にブロックしていません。
- CVE-2014-9039
Momen Bassel さんと Tanoy Bose さん、Bojan Slavkovic さんがパスワードリセットプロセスに脆弱性を報告しています: メールアドレスの変更処理で前のパスワードリセットのメールを失効させていません。
安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.6.1+dfsg-1~deb7u5 で修正されています。
次期安定版 (stable) ディストリビューション (jessie) では、この問題はバージョン 4.0.1+dfsg-1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 4.0.1+dfsg-1 で修正されています。
直ちに wordpress パッケージをアップグレードすることを勧めます。
- CVE-2014-9031