1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" maintainer="Lev Lamberov"
<define-tag description>несколько уязвимостей</define-tag>
<define-tag moreinfo>
<p>В WordPress, инструменте для ведения веб-блога, были обнаружены
несколько уязвимостей. Поскольку идентификационные номера CVE были убраны из анонса о выпуске и
конкретные исправления не могут быть определены, было решено
обновить пакет wordpress до последней версии из основной ветки разработки, а не
переносить заплаты обратно в старую версию.</p>
<p>Это предполагает, что при обновлении следует быть внимательным, особенно в том случае, если
вы используете плагины или темы оформления от третьих лиц, поскольку обновление
может повлиять на совместимость. Мы рекомендуем пользователям проверить свои установки
до осуществления обновления.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2173">CVE-2013-2173</a>
<p>В способе, которым WordPress осуществляет вычисления хешей при
проверке пароля для защищённых постов, была обнаружена проблема, состоящая в отказе в обслуживании. Атакующий,
передавший специально созданные вводные данные в качестве пароля, может заставить
платформу чрезмерно использовать CPU.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2199">CVE-2013-2199</a>
<p>В HTTP API были обнаружены многочисленные уязвимости, заключающиеся в подделке запросов
на стороне сервера (SSRF). Эта проблема связана с
<a href="https://security-tracker.debian.org/tracker/CVE-2013-0235">CVE-2013-0235</a>,
которая касается конкретно SSRF в запросах pingback, и была исправлена в 3.5.1.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2200">CVE-2013-2200</a>
<p>Неадекватная проверка прав пользователя может приводить к
повышению привилегий, что позволяет пользователям публиковать посты тогда, когда
их пользовательская роль не позволяет им делать этого, а также назначать посты
другим авторам.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2201">CVE-2013-2201</a>
<p>В мультимедиа файлах и плагинах форм загрузки были обнаружены многочисленные
уязвимости, состоящие в межсайтовом скриптинге (XSS), которые возникают из-за плохо зеркалируемого ввода.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2202">CVE-2013-2202</a>
<p>Уязвимость XML External Entity Injection (XXE) через
запросы oEmbed.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2203">CVE-2013-2203</a>
<p>Полное раскрытие пути (FPD) было обнаружено в механизме загрузки файлов.
Если в каталог загрузки нельзя писать, возвращаемое сообщение об ошибке
содержит полный путь данного каталога.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2204">CVE-2013-2204</a>
<p>Подделка содержимого через аплет Flash во встроенном мультимедиа плагине
tinyMCE.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2205">CVE-2013-2205</a>
<p>Междоменный XSS во встроенном загрузчике SWFupload.</p></li>
</ul>
<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 3.5.2+dfsg-1~deb6u1.</p>
<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 3.5.2+dfsg-1~deb7u1.</p>
<p>В тестируемом выпуске (jessie) эти проблемы были исправлены в
версии 3.5.2+dfsg-1.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 3.5.2+dfsg-1.</p>
<p>Рекомендуется обновить пакеты wordpress.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2718.data"
# $Id$
|
