blob: bba33b855ce9d5fa637d75baf84a7b7492a5664f (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
|
#use wml::debian::translation-check translation="7a5c26245e818a99000bf9a1732df7a7e0d36ae7" mindelta="1"
<define-tag description>säkerhetsuppdatering</define-tag>
<define-tag moreinfo>
<p>Flera säkerhetsproblem har upptäckts i webbloggverktyget Wordpress, som
resulterar i överbelastning eller utlämnande av information. Mer information
kan hittas i uppströmsbulletinen på
<url "https://wordpress.org/news/2014/11/wordpress-4-0-1/" /></p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9031">CVE-2014-9031</a>
<p>Jouko Pynnonen upptäckte en oautentiserad serveröverskridande
skriptsårbarhet (XSS) i wptexturize(), exploaterbar via kommentarer eller
inlägg.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9033">CVE-2014-9033</a>
<p>En sårbarhet för sajtöverskridande förfalskning av förfrågningar (Cross
site request forgery, CSRF) i processen för att ändra lösenord kunde
användas av en angripare för att lura en användare till att ändra sitt
lösenord.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9034">CVE-2014-9034</a>
<p>Javier Nieto Arevalo och Andres Rojas Guerrero rapporterade en
potentiell överbelastning i sättet som biblioteket phpass används för att
hantera lösenord, eftersom ingen maximal lösenordslängd var satt.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9035">CVE-2014-9035</a>
<p>John Blackbourn rapporterade en XSS i <q>Press This</q>-funktionen
(används för snabbpublicering med hjälp av en webbläsar-<q>bookmarklet</q>).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9036">CVE-2014-9036</a>
<p>Robert Chapin rapporterade en XSS i HTML-filtreringen av CSS i inlägg.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9037">CVE-2014-9037</a>
<p>David Anderson rapporterade en sårbarhet rörande hashjämförelser för
lösenord som lagras med hjälp av MD5-schemat av gamla stilen. Även om det
är otänkbart kan det möjligen exploateras för att äventyra ett konto, om
användaren inte har loggat in efter en Wordpress 2.5-uppdatering (som
laddades upp till Debian den 2 April, 2008) och lösenordets MD5-hashsumma
kunde kollideras med på grund av dynamisk jämförelse i PHP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9038">CVE-2014-9038</a>
<p>Ben Bidner rapporterade en förfrågeförfalskning på serversidan (SSRF) i
i HTTP-lagret som otillräckligt blockerar loopback IP-adressrymden.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9039">CVE-2014-9039</a>
<p>Momen Bassel, Tanoy Bose, och Bojan Slavkovic rapporterade en
sårbarhet i processen för att återställa lösenord: en förändring av en
e-postadress invaliderade inte en tidigare e-postadress för återställning.</p></li>
</ul>
<p>För den stabila utgåvan (Wheezy) har dessa problem rättats i
version 3.6.1+dfsg-1~deb7u5.</p>
<p>För den kommande stabila utgåvan (Jessie) har dessa problem
rättats i version 4.0.1+dfsg-1.</p>
<p>För den instabila utgåvan (Sid) har dessa problem rättats i
version 4.0.1+dfsg-1.</p>
<p>Vi rekommenderar att ni uppgraderar era wordpress-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3085.data"
|
