blob: e2d94cf371b8787bb6c958c6a51455ea56a513db (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flera sårbarheter</define-tag>
<define-tag moreinfo>
<p>Flera sårbarheter har upptäckts i WordPress, ett webbbloggverktyg.
Eftersom CVEerna hämtades från utgåvetillkännagivanden och specifika
fixar vanligtvis inte identifieras så har ett beslut tagits att uppgradera
wordpress till den senaste uppströmsversionen istället för att bakåtportera
rättningarna.</p>
<p>Detta betyder att extra försiktighet bör tas vid uppgradering, speciellt
vid användning av tredje-parts insticksmoduler eller teman, eftersom
kompabilitet kan ha påverkats på vägen. Vi rekommenderar att användare
kontrollerar sin installation innan de gör uppgraderingen.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2173">CVE-2013-2173</a>
<p>En överbelastning hittades i sättet som Wordpress utför hashberäkning
vid kontroll av lösenord för skyddade inlägg. En angripare som
tillhandahåller försiktigt skapad input som lösenord kunde göra att
platformen orsakar överdriven CPU-belastning.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2199">CVE-2013-2199</a>
<p>Flera sårbarheter för förfalskningar av förfrågningar på serversidan
(server-side requests forgery - SSRF) har upptäckts i HTTP-APIn. Detta är
relaterat till
<a href="https://security-tracker.debian.org/tracker/CVE-2013-0235">CVE-2013-0235</a>,
vilket var specifikt för SSRF i pingback-förfrågningar och är fixat i 3.5.1.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2200">CVE-2013-2200</a>
<p>Otillräcklig kontroll av en användares möjligheter kunde leda till
utökning av privilegier, vilket kunde tillåta dem att publicera inlägg när
deras användarroll inte skulle tillåta det och tilldela inlägg till andra
författare.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2201">CVE-2013-2201</a>
<p>Flera serveröverskridande skriptsårbarheter (XSS) på grund av dåligt
avslutade inläsning av indata hittades i mediafilerna och
uppladdningsformulären för insticksmoduler.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2202">CVE-2013-2202</a>
<p>Sårbarhet för XML-injektion av extern enhet (XXE) via oEmbed-svar.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2203">CVE-2013-2203</a>
<p>Ett avslöjande av full sökväg (FPD) hittades i mekanismen för filuppladdning.
Om uppladdningsfoldern inte är skrivbar så ger felmeddelandet som returneras
den fulla sökvägen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2204">CVE-2013-2204</a>
<p>Innehållsförfalskning via Flashapplet i den inbäddade tinyMCE
media-insticksmodulen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2205">CVE-2013-2205</a>
<p>Domänöverskridande XSS i den inbäddade SWFupload-uppladdaren.</p></li>
</ul>
<p>För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i
version 3.5.2+dfsg-1~deb6u1.</p>
<p>För den stabila utgåvan (Wheezy) har dessa problem rättats i
version 3.5.2+dfsg-1~deb7u1.</p>
<p>För uttestningsutgåvan (Jessie) har dessa problem rättats i
version 3.5.2+dfsg-1.</p>
<p>För den instabila utgåvan (Sid) har dessa problem rättats i
version 3.5.2+dfsg-1.</p>
<p>Vi rekommenderar att ni uppgraderar era wordpress-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2718.data"
|
