Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3332-1 wordpress

Säkerhetsbulletin från Debian

DSA-3332-1 wordpress -- säkerhetsuppdatering

Rapporterat den:

2015-08-11

Berörda paket:

wordpress

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 794548, Fel 794560.
I Mitres CVE-förteckning: CVE-2015-2213, CVE-2015-5622, CVE-2015-5730, CVE-2015-5731, CVE-2015-5732, CVE-2015-5734.

Ytterligare information:

Flera sårbarheter har rättats i den populära bloggmotorn Wordpress.

• CVE-2015-2213

  SQL-injicering tillåter en fjärrangripare att äventyra sajten.

• CVE-2015-5622

  Robustheten i filtret shortcodes HTML-tags har förbättrats. Tolkningen är lite mer strikt, vilket kan påverka din installation. Detta är den förbättrade versionen av patchen som behövde återställas i DSA-3328-2.

• CVE-2015-5730

  Ett potentiell timing-sidokanalsangrepp i widgetar.

• CVE-2015-5731

  En angripare kunde låsa en post som redigerades.

• CVE-2015-5732

  Sajtöverskridande skriptangrepp i en widgettitel tillåter en angripare att stjäla känslig information.

• CVE-2015-5734

  Rätta några trasiga länkar i legacy-temaförhandsgranskning.

Problemen hittades av Marc-Alexandre Montpas från Sucuri, Helen Hou-Sandí från Wordpress säkerhetsgrupp, Netanel Rubin från Check Point, Ivan Grigorov, Johannes Schmitt från Scrutinizer och Mohamed A. Baset.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 4.1+dfsg-1+deb8u4.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.2.4+dfsg-1.

Vi rekommenderar att ni uppgraderar era wordpress-paket.