Debians sikkerhedsbulletin

DSA-3383-1 wordpress -- sikkerhedsopdatering

Rapporteret den:

29. okt 2015

Berørte pakker:

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 794560, Fejl 799140.
I Mitres CVE-ordbog: CVE-2015-2213, CVE-2015-5622, CVE-2015-5714, CVE-2015-5715, CVE-2015-5731, CVE-2015-5732, CVE-2015-5734, CVE-2015-7989.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Wordpress, et værktøj til webblogging. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

CVE-2015-2213
En SQL-indsprøjtning gjorde det muligt for fjernangribere at kompromittere webstedet.
CVE-2015-5622
Robustheden i HTML-tagfilteret til shortcodes, er forbedret. Fortolkningen er lidt mere striks, hvilket kan påvirke ens installation.
CVE-2015-5714
Sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, når shortcodetags blev behandlet.
CVE-2015-5715
En sårbarhed er opdaget, som gjorde det muligt for brugere uden de korrekte rettigheder, at udgive private indlæg og gøre dem sticky.
CVE-2015-5731
En angriber kunne låse et indlæg, som var ved at blive redigeret.
CVE-2015-5732
Udførelse af skripter på tværs af websteder i en widgettitel, gjorde det muligt for en angriber at stjæle følsommme oplysninger.
CVE-2015-5734
Retter nogle defekte links i forhåndsvisningen af legacy-temaet.
CVE-2015-7989
Sårbarhed i forbindelse med udførelse af skripter på tværs af websteder i brugerlistetabeller.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 3.6.1+dfsg-1~deb7u8.

I den stabile distribution (jessie), er disse problemer rettet i version 4.1+dfsg-1+deb8u5 eller tidligere i DSA-3332-1 og DSA-3375-1.

I distributionen testing (stretch), er disse problemer rettet i version 4.3.1+dfsg-1 or earlier versions.

I den ustabile distribution (sid), er disse problemer rettet i version 4.3.1+dfsg-1 or earlier versions.

Vi anbefaler at du opgraderer dine wordpress-pakker.