1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
#use wml::debian::translation-check translation="7a5c26245e818a99000bf9a1732df7a7e0d36ae7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В Wordpress, инструменте для ведения блога, были обнаружены
многочисленные инструменты, приводящие к отказу в обслуживании и раскрытию информации.
Дополнительная информация может быть найдена в рекомендации основной ветки разработки по следующему
адресу: <url "https://wordpress.org/news/2014/11/wordpress-4-0-1/" /></p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9031">CVE-2014-9031</a>
<p>Йоуко Пюннонен обнаружил неаутентифицированный межсайтовый скриптинг
(XSS) в функции wptexturize(), который может использоваться через комментарии
или посты.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9033">CVE-2014-9033</a>
<p>Подделка межсайтовых запросов (CSRF) в процессе изменения
пароля, которое может использоваться злоумышленником для обмана
пользователя.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9034">CVE-2014-9034</a>
<p>Хавьер Нието Аревало и Андрес Рохас Гуерреро сообщили о потенциальном
отказе в обслуживании в том способе, который используется библиотекой phpass для обработки
паролей, поскольку максимальный размер пароля не установлен.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9035">CVE-2014-9035</a>
<p>Джон Блэкберн сообщил об XSS в функции <q>Нажмите это</q> (используется
для быстрой публикации с использованием <q>bookmarklet</q> браузера).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9036">CVE-2014-9036</a>
<p>Роберт Чапин сообщил об XSS в коде фильтрации CSS в постах.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9037">CVE-2014-9037</a>
<p>Дэвид Андерсон сообщил об уязвимости кода для сравнения хэшей
паролей, сохранённых с использованием устаревшей схемы MD5. Хоть это и маловероятно,
данная уязвимость может использоваться для компрометации учётной записи, если пользователь
не вошёл в систему после обновления Wordpress 2.5 (оно было загружено в Debian 2
апреля 2008 года), и произошёл конфликт MD5-хэшей пароля из-за
динамического сравнения в PHP.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9038">CVE-2014-9038</a>
<p>Бэн Биднер сообщил о подделке запроса на стороне сервера (SSRF) в базовой
прослойке HTTP, которая недостаточно блокирует адресное пространство кольцевого
интерфейса.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-9039">CVE-2014-9039</a>
<p>Момен Бэсил, Таной Боус и Бойан Славкович сообщили об уязвимости
в процессе сброса пароля: изменение адреса электронной почты
не приведёт к отмене отправки сообщения о сбросе пароля на старый ящик.</p></li>
</ul>
<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 3.6.1+dfsg-1~deb7u5.</p>
<p>В готовящемся стабильном выпуске (jessie) эти проблемы были
исправлены в версии 4.0.1+dfsg-1.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.0.1+dfsg-1.</p>
<p>Рекомендуется обновить пакеты wordpress.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3085.data"
# $Id$
|
