Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3332-1 wordpress

Debians sikkerhedsbulletin

DSA-3332-1 wordpress -- sikkerhedsopdatering

Rapporteret den:

11. aug 2015

Berørte pakker:

wordpress

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 794548, Fejl 794560.
I Mitres CVE-ordbog: CVE-2015-2213, CVE-2015-5622, CVE-2015-5730, CVE-2015-5731, CVE-2015-5732, CVE-2015-5734.

Yderligere oplysninger:

Flere sårbarheder er rettet i Wordpress, den populære bloggingmotor.

• CVE-2015-2213

  SQL-indsprøjning gjorde det muligt for en fjernangriber at kompromittere webstedet.

• CVE-2015-5622

  HTML-tagfilteret shortcodes robusthed er blevet forbedret. Fortolkningen er lidt mere restriktiv, hvilket kan påvirke ens installation. Dette er en korrigeret version af patch'en, som var nødvendig at rulle tilbage i DSA 3328-2.

• CVE-2015-5730

  Et potentielt timing-sidekanalsangreb i widgets.

• CVE-2015-5731

  En angriber kunne læse et indlæg, som var ved at blive redigeret.

• CVE-2015-5732

  Udførelse af skripter på tværs af websteder i en widgettitel, gjorde det muligt for en angriber at stjæle følsommme oplysninger.

• CVE-2015-5734

  Retter nogle defekte links i forhåndsvisningen af legacy-temaet.

Problemerne blev opdaget af Marc-Alexandre Montpas fra Sucuri, Helen Hou-Sandí fra WordPress' sikkerhedshold, Netanel Rubin fra Check Point, Ivan Grigorov, Johannes Schmitt fra Scrutinizer og Mohamed A. Baset.

I den stabile distribution (jessie), er disse problemer rettet i version 4.1+dfsg-1+deb8u4.

I den ustabile distribution (sid), er disse problemer rettet i version 4.2.4+dfsg-1.

Vi anbefaler at du opgraderer dine wordpress-pakker.