DFN-CERT-2014-0432 WordPress: Schwachstellen ermöglichen Zugang zu Adminstrationskonten [Linux][Fedora]

DFN-CERT-2014-0432 WordPress: Schwachstellen ermöglichen Zugang zu Adminstrationskonten [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WordPress <= 3.7.1 WordPress <= 3.8.1 Betroffene Plattformen: WordPress Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Eine Schwachstelle (CVE-2014-0166) in WordPress ermöglicht es einem entfernten, nicht authentisierten Angreifer, sich Zugang zu einem Benutzerkonto, einschließlich einem Konto mit Administrationsrechten, zu verschaffen. Eine weitere Schwachstelle (CVE-2014-0165) erlaubt einem als 'Contributor' eingeloggten Benutzer, unerlaubt Posts zu erstellen. Außerdem wurden mit diesem Update weitere Verbesserungen eingeführt. U.a. wurde das Potential für Denial-of-Service-Angriffe durch sogenannte Pingbacks reduziert, indem jetzt zusätzliche Informationen mitgeschickt werden. Außerdem wurde in den Release-Notes dokumentiert, dass die Möglichkeit einer SQL-Injektion durch "trusted" Benutzer behoben wurde und eine Cross-Domain-Scripting-Schwachstelle durch PLUPLOAD, das für das Hochladen von Dateien verwendet wird, wurde geschlossen. Patch: WordPress 3.8.2 Security Release http://wordpress.org/news/2014/04/wordpress-3-8-2/

Patch:

WordPress 3.8.2 Security Release

http://codex.wordpress.org/Version_3.8.2

Patch:

Fedora Hersteller-Advisory FEDORA-EPEL-2014-1102

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1102/wordpress-3.8.2-1.el6

Patch:

Fedora Hersteller-Advisory FEDORA-EPEL-2014-1096

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1096/wordpress-3.8.2-1.el5

CVE-2014-0166: WordPress: Schwachstelle ermöglicht unerlaubten Zugang zum
Administrationsinterface

WordPress enthält eine Schwachstelle in der Verwaltung von Cookies. Dies
erleichtert bzw. ermöglicht einem entfernten, nicht authentisierten
Angreifer, Session-Cookies zu fälschen und durch diese Zugang zu beliebigen
Konten, einschließlich des Kontos des Administrators, zu erlangen.

CVE-2014-0165: WordPress: Schwachstelle ermöglicht Erweiterung der
Privilegien

WordPress versäumt es, die Beschränkungen eines Benutzers mit der Rolle
‘Contributor’ hinreichend zu erzwingen. Dies ermöglicht einem entfernten,
als ‘Contributor’ eingeloggten Benutzer als Angreifer, unerlaubt Posts zu
erstellen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0432/

Schwachstelle CVE-2014-0166 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0166

Schwachstelle CVE-2014-0165 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0165

WordPress 3.8.2 Security Release:
http://wordpress.org/news/2014/04/wordpress-3-8-2/

WordPress 3.8.2 Security Release:
http://codex.wordpress.org/Version_3.8.2

Download-Seite von WORDPRESS für Nutzer mit deaktiviertem automatischem Update:
http://wordpress.org/download/

Fedora Hersteller-Advisory FEDORA-EPEL-2014-1102:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1102/wordpress-3.8.2-1.el6

Fedora Hersteller-Advisory FEDORA-EPEL-2014-1096:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-1096/wordpress-3.8.2-1.el5

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben