Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3383-1 wordpress

Bulletin d'alerte Debian

DSA-3383-1 wordpress -- Mise à jour de sécurité

Date du rapport :

29 octobre 2015

Paquets concernés :

wordpress

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 794560, Bogue 799140.
Dans le dictionnaire CVE du Mitre : CVE-2015-2213, CVE-2015-5622, CVE-2015-5714, CVE-2015-5715, CVE-2015-5731, CVE-2015-5732, CVE-2015-5734, CVE-2015-7989.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Wordpress, un outil de blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

• CVE-2015-2213

  Une injection SQL permettait à un attaquant distant de compromettre le site.

• CVE-2015-5622

  La robustesse du filtre des étiquettes de « shortcodes » HTML a été améliorée. L'analyse est un peu plus stricte, ce qui peut affecter votre installation.

• CVE-2015-5714

  Une vulnérabilité de script intersite lors du traitement des étiquettes de « shortcode ».

• CVE-2015-5715

  Une vulnérabilité a été découverte permettant à des utilisateurs ne disposant pas des droits appropriés de publier des messages privés et de les rendre ineffaçables (sticky).

• CVE-2015-5731

  Un attaquant pourrait verrouiller un envoi qui était en révision.

• CVE-2015-5732

  Une attaque de script intersite dans un « widget title » permet à un attaquant de voler des informations sensibles.

• CVE-2015-5734

  Correction de liens cassés dans le « Legacy Theme Preview ».

• CVE-2015-7989

  Une vulnérabilité de script intersite dans les tables de listes d'utilisateurs a été découverte.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u8.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u5 ou avant dans DSA-3332-1 et DSA-3375-1.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 4.3.1+dfsg-1 ou des versions précédentes.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.3.1+dfsg-1 ou des versions précédentes.

Nous vous recommandons de mettre à jour vos paquets wordpress.