Bulletin d'alerte Debian

DSA-3332-1 wordpress -- Mise à jour de sécurité

Date du rapport :
11 août 2015
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 794548, Bogue 794560.
Dans le dictionnaire CVE du Mitre : CVE-2015-2213, CVE-2015-5622, CVE-2015-5730, CVE-2015-5731, CVE-2015-5732, CVE-2015-5734.
Plus de précisions :

Plusieurs vulnérabilités ont été corrigées dans Wordpress, le populaire moteur de blog.

  • CVE-2015-2213

    Une injection SQL permettait à un attaquant distant de compromettre le site.

  • CVE-2015-5622

    La robustesse du filtre des étiquettes de « shortcodes » HTML a été améliorée. L'analyse est un peu plus stricte, ce qui peut affecter votre installation. Cela est la version corrigée du correctif qui devait être retirée dans la DSA 3328-2.

  • CVE-2015-5730

    Une possible attaque temporelle par canal auxiliaire dans les widgets.

  • CVE-2015-5731

    Un attaquant pourrait verrouiller un envoi qui était en révision.

  • CVE-2015-5732

    Une attaque de script intersite dans un « widget title » permet à un attaquant de voler des informations sensibles.

  • CVE-2015-5734

    Correction de liens cassés dans le « Legacy Theme Preview ».

    Ces problèmes ont été découverts par Marc-Alexandre Montpas de Sucuri, Helen Hou-Sandí de l'équipe de sécurité de WordPress, Netanel Rubin de Check Point, Ivan Grigorov, Johannes Schmitt de Scrutinizer et Mohamed A. Baset.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.4+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.