Информация по безопасности / 2013 / Информация о безопасности -- DSA-2757-1 wordpress

Рекомендация Debian по безопасности

DSA-2757-1 wordpress -- несколько уязвимостей

Дата сообщения:

14.09.2013

Затронутые пакеты:

wordpress

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 722537.
В каталоге Mitre CVE: CVE-2013-4338, CVE-2013-4339, CVE-2013-4340, CVE-2013-5738, CVE-2013-5739.

Более подробная информация:

В Wordpress, инструменте для веб-блоггинга, были обнаружены несколько уязвимостей. Поскольку идентификационные номера CVE были убраны из анонсов выпусков и конкретные исправления очень сложно определить, было решено обновить пакет Wordpress до актуальной версии основной ветки разработки, а не переносить назад заплаты.

Это подразумевает, что при обновлении следует быть внимательным, особенно при использовании плагинов или тем от третьих лиц, поскольку во время обновления может быть нарушена совместимость. Мы рекомендуем, чтобы пользователи проверили свои настройки до выполнения обновления.

• CVE-2013-4338

  Небезопасная десериализация PHP в wp-includes/functions.php может вызвать выполнение произвольного кода.

• CVE-2013-4339

  Недостаточная проверка ввода может приводить к перенаправлению или приводить пользователя на другой веб-сайт.

• CVE-2013-4340

  Повышение привилегий позволяет пользователю с другой авторской ролью создавать объект, который выглядит как написанный другим пользователем.

• CVE-2013-5738

  Недостаточные возможности требовались для загрузки файлов .html/.html, что облегчало авторизованным пользователям выполнять атаки по межсайтовому скриптингу (XSS), используя загрузку специально подготовленного файла html.

• CVE-2013-5739

  Настройка Wordpress по умолчанию разрешала загрузку файлов .swf/.exe, что облегчало авторизованным пользователям выполнять атаки по межсайтовому скриптингу (XSS).

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.6.1+dfsg-1~deb6u1.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.6.1+dfsg-1~deb7u1.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 3.6.1+dfsg-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.6.1+dfsg-1.

Мы рекомендуем вам обновить ваши пакеты wordpress.