1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>В версии Wordpress в Debian squeeze-lts были исправлены многочисленные проблемы
безопасности:</p>
<p>Удалённые злоумышленники могут...</p>
<ul>
<li> ... загружать файлы с некорректными или небезопасными именами</li>
<li> ... выполнять атаки по принципу социальной инженерии</li>
<li> ... компрометировать сайт через межсайтовый скриптинг</li>
<li> ... вводить команды SQL</li>
<li> ... вызывать отказ в обслуживании или раскрытие информации</li>
</ul>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9031">CVE-2014-9031</a>
<p>Йоуко Пюннёнен обнаружил неавторизованный межсайтовый скриптинг
(XSS) в wptexturize(), который можно использовать через комментарии или
сообщения.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9033">CVE-2014-9033</a>
<p>Подделка межсайтовых запросов (CSRF) в процессе смены
пароля, которая может использоваться злоумышленником для того, чтобы обманным образом заставить пользователя
сменить пароль.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9034">CVE-2014-9034</a>
<p>Хавьер Нието Аревало и Андрес Рохас Гуерреро сообщили о потенциальном
отказе в обслуживании в способе, используемом библиотекой phpass для обработки
паролей, поскольку не установлена максимальная длина пароля.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9035">CVE-2014-9035</a>
<p>Джон Блэкберн сообщил об XSS в функции <q>Нажмите здесь</q> (используется
для быстрой публикации, используя <q>bookmarklet</q> браузера).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9036">CVE-2014-9036</a>
<p>Роберт Чапин сообщил об XSS в фильтрации CSS в сообщениях.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9037">CVE-2014-9037</a>
<p>Дэвид Андерсон сообщил об уязвимости сравнения хешей для паролей,
сохранённых по старой схеме MD5. Хотя это и маловероятно, это может
использоваться для компрометации учётной записи в том случае, если пользователь не выполнял вход
после обновления Wordpress 2.5 (обновление в Debian произведено 2 апреля 2008 года),
столкновение MD5-хешей паролей может произойти из-за динамического сравнения
в PHP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9038">CVE-2014-9038</a>
<p>Бен Биднер сообщил о подделке запросов на стороне сервера (SSRF) в базовой
прослойке HTTP, которая недостаточно блокирует пространство IP адреса
петлевого интерфейса.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9039">CVE-2014-9039</a>
<p>Момент Бассель, Таной Босе и Бойан Славкович сообщили об
уязвимости в процессе сброса пароля: изменение адреса электронной почты
не приводит к отмене работоспособности предыдущего сообщения о сбросе пароля.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3438">CVE-2015-3438</a>
<p>Седрик Ван Бокхэйвен сообщил, а Гэри Пендергаст, Майк Адамс и Эндрю Накин из
команды безопасности WordPress исправили межсайтовый скриптинг, который позволяет анонимным пользователям
компрометировать сайт.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3439">CVE-2015-3439</a>
<p>Якуб Зожек обнаружил очень ограниченный межсайтовый скриптинг,
которые может использоваться в качестве части атаки по принципу
социальной инженерии.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-3440">CVE-2015-3440</a>
<p>Йоуко Пюннёнен обнаружил межсайтовый скриптинг,
который может позволить комментаторам компрометировать сайт.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-236.data"
# $Id$
|