DFN-CERT-2014-1034 WordPress: Mehrere Schwachstellen ermöglichen u.a. XXE-Angriffe [Linux][Fedora][Windows]

DFN-CERT-2014-1034 WordPress: Mehrere Schwachstellen ermöglichen u.a. XXE-Angriffe [Linux][Fedora][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WordPress <= 3.7.3 WordPress <= 3.8.3 WordPress <= 3.9.1 Betroffene Plattformen: WordPress Red Hat Fedora 19 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 5 Mehrere Schwachstellen in WordPress ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen, Denial-of-Service-Angriffe sowie möglicherweise das Ausführen von Programmcode. Neben der Behebung vorgenannter Schwachstellen wurden mit diesem Update weitere Sicherheitshärtungen eingeführt. U.a. wurde ein Schutz gegen Brute-Force-Angriffe auf CSRF Token sowie gegen Cross-Site-Scripting implementiert. Patch: Fedora EPEL Security Update FEDORA-EPEL-2014-2155 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2155/wordpress-3.9.2-3.el5

Patch:

Fedora Security Update FEDORA-2014-9264

https://admin.fedoraproject.org/updates/FEDORA-2014-9264/wordpress-3.9.2-3.fc20

Patch:

Fedora Security Update FEDORA-2014-9270

https://admin.fedoraproject.org/updates/FEDORA-2014-9270/wordpress-3.9.2-3.fc19

Patch:

WordPress 3.9.2 Security Release

http://wordpress.org/news/2014/08/wordpress-3-9-2

CVE-2014-2053: Schwachstelle in getID3 kann zum Ausspähen von Informationen
führen

In getID3 werden XML External Entity Referenzen nicht korrekt eingeschränkt.
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle für
einen XML External Entity (XXE) Angriff ausnutzen, um beliebige Dateien zu
lesen oder einen Denial-of-Service-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1034/

Fedora EPEL Security Update FEDORA-EPEL-2014-2155:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-2155/wordpress-3.9.2-3.el5

Fedora Security Update FEDORA-2014-9264:
https://admin.fedoraproject.org/updates/FEDORA-2014-9264/wordpress-3.9.2-3.fc20

Fedora Security Update FEDORA-2014-9270:
https://admin.fedoraproject.org/updates/FEDORA-2014-9270/wordpress-3.9.2-3.fc19

WordPress 3.9.2 Security Release:
http://wordpress.org/news/2014/08/wordpress-3-9-2

Schwachstelle CVE-2014-2053 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2053

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben