Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3085-1 wordpress

Säkerhetsbulletin från Debian

DSA-3085-1 wordpress -- säkerhetsuppdatering

Rapporterat den:

2014-12-03

Berörda paket:

wordpress

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 770425.
I Mitres CVE-förteckning: CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i webbloggverktyget Wordpress, som resulterar i överbelastning eller utlämnande av information. Mer information kan hittas i uppströmsbulletinen på https://wordpress.org/news/2014/11/wordpress-4-0-1/

• CVE-2014-9031

  Jouko Pynnonen upptäckte en oautentiserad serveröverskridande skriptsårbarhet (XSS) i wptexturize(), exploaterbar via kommentarer eller inlägg.

• CVE-2014-9033

  En sårbarhet för sajtöverskridande förfalskning av förfrågningar (Cross site request forgery, CSRF) i processen för att ändra lösenord kunde användas av en angripare för att lura en användare till att ändra sitt lösenord.

• CVE-2014-9034

  Javier Nieto Arevalo och Andres Rojas Guerrero rapporterade en potentiell överbelastning i sättet som biblioteket phpass används för att hantera lösenord, eftersom ingen maximal lösenordslängd var satt.

• CVE-2014-9035

  John Blackbourn rapporterade en XSS i Press This-funktionen (används för snabbpublicering med hjälp av en webbläsar-bookmarklet).

• CVE-2014-9036

  Robert Chapin rapporterade en XSS i HTML-filtreringen av CSS i inlägg.

• CVE-2014-9037

  David Anderson rapporterade en sårbarhet rörande hashjämförelser för lösenord som lagras med hjälp av MD5-schemat av gamla stilen. Även om det är otänkbart kan det möjligen exploateras för att äventyra ett konto, om användaren inte har loggat in efter en Wordpress 2.5-uppdatering (som laddades upp till Debian den 2 April, 2008) och lösenordets MD5-hashsumma kunde kollideras med på grund av dynamisk jämförelse i PHP.

• CVE-2014-9038

  Ben Bidner rapporterade en förfrågeförfalskning på serversidan (SSRF) i i HTTP-lagret som otillräckligt blockerar loopback IP-adressrymden.

• CVE-2014-9039

  Momen Bassel, Tanoy Bose, och Bojan Slavkovic rapporterade en sårbarhet i processen för att återställa lösenord: en förändring av en e-postadress invaliderade inte en tidigare e-postadress för återställning.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.6.1+dfsg-1~deb7u5.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 4.0.1+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.0.1+dfsg-1.

Vi rekommenderar att ni uppgraderar era wordpress-paket.