Säkerhetsbulletin från Debian

DSA-1601-1 wordpress -- flera sårbarheter

Rapporterat den:

2008-07-04

Berörda paket:

wordpress

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 437085, Fel 464170.
I Mitres CVE-förteckning: CVE-2007-1599, CVE-2008-0664.

Ytterligare information:

Man har upptäckt flera utifrån nåbara sårbarheter i Wordpress, webblogghanteraren. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2007-1599
WordPress gjorde det möjligt för angripare att omdirigera autentiserade användare till andra webbplatser och potentiellt få tag på känslig information.
CVE-2008-0664
Implementationen av XML-RPC kunde, om registrering aktiverats, göra det möjligt för angripare utifrån att redigera inlägg från andra blogganvändare.

För den stabila utgåvan (Etch) har dessa problem rättats i version 2.0.10-1etch3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.3.3-1.

Vi rekommenderar att ni uppgraderar ert wordpress-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10.orig.tar.gz; http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch3.dsc; http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch3.diff.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.