blob: c6a6439db1656637cba2d89a18dfb8a61d8d8b13 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" maintainer="Lev Lamberov"
<define-tag description>несколько уязвимостей</define-tag>
<define-tag moreinfo>
<p>В Wordpress, инструменте для веб-блоггинга, были
обнаружены несколько уязвимостей. Поскольку идентификационные номера CVE были убраны из анонсов выпусков и конкретные
исправления очень сложно определить, было решено обновить пакет
Wordpress до актуальной версии основной ветки разработки, а не переносить назад
заплаты.</p>
<p>Это подразумевает, что при обновлении следует быть внимательным, особенно при
использовании плагинов или тем от третьих лиц, поскольку во время обновления может быть
нарушена совместимость. Мы рекомендуем, чтобы пользователи проверили свои настройки
до выполнения обновления.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4338">CVE-2013-4338</a>
<p>Небезопасная десериализация PHP в wp-includes/functions.php может вызвать
выполнение произвольного кода.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4339">CVE-2013-4339</a>
<p>Недостаточная проверка ввода может приводить к перенаправлению или приводить
пользователя на другой веб-сайт.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4340">CVE-2013-4340</a>
<p>Повышение привилегий позволяет пользователю с другой авторской ролью создавать
объект, который выглядит как написанный другим пользователем.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5738">CVE-2013-5738</a>
<p>Недостаточные возможности требовались для загрузки файлов .html/.html,
что облегчало авторизованным пользователям выполнять атаки по межсайтовому
скриптингу (XSS), используя загрузку специально подготовленного файла html.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-5739">CVE-2013-5739</a>
<p>Настройка Wordpress по умолчанию разрешала загрузку файлов .swf/.exe,
что облегчало авторизованным пользователям выполнять атаки по межсайтовому
скриптингу (XSS).</p></li>
</ul>
<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 3.6.1+dfsg-1~deb6u1.</p>
<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 3.6.1+dfsg-1~deb7u1.</p>
<p>В тестируемом выпуске (jessie) эти проблемы были исправлены в
версии 3.6.1+dfsg-1.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 3.6.1+dfsg-1.</p>
<p>Мы рекомендуем вам обновить ваши пакеты wordpress.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2757.data"
# $Id$
|
