Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3332-1 wordpress

Bulletin d'alerte Debian

DSA-3332-1 wordpress -- Mise à jour de sécurité

Date du rapport :

11 août 2015

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 794548, Bogue 794560.
Dans le dictionnaire CVE du Mitre : CVE-2015-2213, CVE-2015-5622, CVE-2015-5730, CVE-2015-5731, CVE-2015-5732, CVE-2015-5734.

Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans Wordpress, le populaire moteur de blog.

• CVE-2015-2213

  Une injection SQL permettait à un attaquant distant de compromettre le site.

• CVE-2015-5622

  La robustesse du filtre des étiquettes de « shortcodes » HTML a été améliorée. L'analyse est un peu plus stricte, ce qui peut affecter votre installation. Cela est la version corrigée du correctif qui devait être retirée dans la DSA 3328-2.

• CVE-2015-5730

  Une possible attaque temporelle par canal auxiliaire dans les widgets.

• CVE-2015-5731

  Un attaquant pourrait verrouiller un envoi qui était en révision.

• CVE-2015-5732

  Une attaque de script intersite dans un « widget title » permet à un attaquant de voler des informations sensibles.

• CVE-2015-5734

  Correction de liens cassés dans le « Legacy Theme Preview ».

  Ces problèmes ont été découverts par Marc-Alexandre Montpas de Sucuri, Helen Hou-Sandí de l'équipe de sécurité de WordPress, Netanel Rubin de Check Point, Ivan Grigorov, Johannes Schmitt de Scrutinizer et Mohamed A. Baset.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.4+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.