DFN-CERT-2015-0648 WordPress: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe [Linux][Debian]

DFN-CERT-2015-0648 WordPress: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

WordPress <= 4.1.1 Betroffene Plattformen: Debian Linux 7.8 Wheezy Debian Linux 8.0 Jessie Debian Linux 9.0 Strech Mehrere Schwachstellen in WordPress vor Version 4.1.2 ermöglichen einem entfernten, nicht authentifizierten Angreifer Cross-Site-Scripting-Angriffe durchzuführen. Debian stellt für die Distributionen Debian Wheezy (7.8) und Debian Jessi (8.0) Sicherheitsupdates als Backports in Form der Pakete 3.6.1+dfsg-1~deb7u6 bzw. 4.1+dfsg-1+deb8u1 bereit. Für Debian Strech (9.0) steht ein Sicherheitsupdate auf Version 4.2.1 zur Verfügung. Patch: WordPress 4.2.1 Security Release https://wordpress.org/news/2015/04/wordpress-4-2-1/

Patch:

Debian Security Advisory DSA-3250-1

https://www.debian.org/security/2015/dsa-3250

Patch:

WordPress 4.1.2 Security Release

https://wordpress.org/news/2015/04/wordpress-4-1-2/

CVE-2015-3440: Schwachstelle in WordPress ermöglicht
Cross-Site-Scripting-Angriff

Eine Schwachstelle in WordPress ermöglicht es Kommentare einzugeben, die
länger als die vorgesehene Maximallänge des Textfeldes sind. Das Limit des
MySQL Textfeldes sind 64 KByte, Texte die länger sind, werden abgeschnitten.
Dadurch kommt es zur Generierung von fehlerhaften HTML-Seiten. Ein
entfernter, nicht authentifizierter Angreifer kann
Cross-Site-Scripting-Angriffe durchführen.

CVE-2015-3439: Schwachstellen in WordPress ermöglichen
Cross-Site-Scripting-Angriff

Mehrere nicht näher beschriebene Schwachstellen in WordPress vor Version
4.1.2 ermöglichen das Hochladen von Dateien mit ungültigen Dateinamen, das
Einschleusen von SQL-Code und das Ausführen von
Social-Engeneering-Angriffen. Den Schwachstellen wurden die Identifier
CVE-2015-3438 und CVE-2015-3439 zugewiesen.

CVE-2015-3438: Schwachstellen in WordPress ermöglichen
Cross-Site-Scripting-Angriff

Mehrere nicht näher beschriebene Schwachstellen in WordPress vor Version
4.1.2 ermöglichen das Hochladen von Dateien mit ungültigen Dateinamen, das
Einschleusen von SQL-Code und das Ausführen von
Social-Engeneering-Angriffen. Den Schwachstellen wurden die Identifier
CVE-2015-3438 und CVE-2015-3439 zugewiesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0648/

WordPress 4.2.1 Security Release:
https://wordpress.org/news/2015/04/wordpress-4-2-1/

Debian Security Advisory DSA-3250-1:
https://www.debian.org/security/2015/dsa-3250

WordPress 4.1.2 Security Release:
https://wordpress.org/news/2015/04/wordpress-4-1-2/

Schwachstelle CVE-2015-3438 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3438

Schwachstelle CVE-2015-3439 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3439

Schwachstelle CVE-2015-3440 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3440

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben