Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3375-1 wordpress

Debians sikkerhedsbulletin

DSA-3375-1 wordpress -- sikkerhedsopdatering

Rapporteret den:

19. okt 2015

Berørte pakker:

wordpress

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 799140.
I Mitres CVE-ordbog: CVE-2015-5714, CVE-2015-5715, CVE-2015-7989.

Yderligere oplysninger:

Flere sårbarheder er rettet i Wordpress, den populære bloggingmotor.

• CVE-2015-5714

  Man opdagede en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, når shortcode-tags blev behandlet.

  Problemet er rettet ved ikke at tillade HTML-elementer, som ikke er lukkede i attributter.

• CVE-2015-5715

  En sårbarhed er opdaget, som tillod brugere uden de korrekte rettigheder, at udgive private indlæg og gøre dem sticky.

  Problemer er rettet i Wordpress' XMLRPC-koden, ved ikke at tillade at private indlæg gøres sticky.

• CVE-2015-7989

  En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder i brugerlistetabeller, er opdaget.

  Problemet er rettet ved at URL-indkaplse mailadresser i disse brugerlister.

I den gamle stabile distribution (wheezy), vil disse problemer blive rettet i en senere opdatering.

I den stabile distribution (jessie), er disse problemer rettet i version 4.1+dfsg-1+deb8u5.

I distributionen testing (stretch), er disse problemer rettet i version 4.3.1+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 4.3.1+dfsg-1.

Vi anbefaler at du opgraderer dine wordpress-pakker.