—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-1030 – Cross-site Scripting Schwachstelle in WordPress MU
Die Funktion choose_primary_blog() aus wp-includes/wpmu-functions.php
in WordPress MU (WPMU) erlaubt beliebige Skript- oder HTML Anweisungen
ueber den HTTP Host Header einzuschleusen. Ein entfernter Angreifer
kann diese Schwachstelle fuer ein Cross-site Scripting ausnutzen und damit
unter Umstaenden an vertrauliche Informationen gelangen oder andere
Angriffe starten.
CVE-2009-2334 – Schwachstelle in WordPress wp-admin/admin.php
WordPress und WordPress MU verlangen im Skript wp-admin/admin.php fuer die
Konfiguration von Plugins, durch die potentiell sicherheitskritische
Informationen erlangt oder Dateien veraendert werden koennen, keine
Authentifikation als Admin.
Beispiele hierfuer sind:(1) collapsing-archives/options.txt, (2)
akismet/readme.txt, (3) related-ways-to-take-action/options.php, (4)
wp-security-scan/securityscan.php und (5) wp-ids/ids-admin.php
Ein entfernter Anfgreifer kann diese Schwachstelle zudem fuer
Cross-site Skripting und Denial of Service Angriffe benutzen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket wordpress
Fedora 10
Fedora 11
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-November/msg00395.html
https://www.redhat.com/archives/fedora-package-announce/2009-November/msg00375.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-11260
2009-11-10 17:09:59
– ——————————————————————————–
Name : wordpress-mu
Product : Fedora 11
Version : 2.8.5.2
Release : 1.fc11
URL : http://mu.wordpress.org/latest.tar.gz
Summary : WordPress-MU multi-user blogging software
Description :
WordPress-MU is a derivative of the WordPress blogging codebase, to allow
one instance to serve multiple users.
– ——————————————————————————–
Update Information:
Security and bugfix updates based upon the WordPress 2.8.5 release
– ——————————————————————————–
ChangeLog:
* Fri Nov 6 2009 Bret McMillan
– – Update to version 2.8.5.2 for security fixes
* Wed Aug 12 2009 Bret McMillan
– – Update to version 2.8.4a for security fixes
* Fri Jul 10 2009 Bret McMillan
– – Patch for CVE-2009-2334
– ——————————————————————————–
References:
[ 1 ] Bug #530056 – WordPress: Resource exhaustion (DoS)
https://bugzilla.redhat.com/show_bug.cgi?id=530056
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update wordpress-mu’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFK+rXzk0kIxZMiiQ8RAlzJAJ9qhhVGIfg0OGs0G85Ke11rilmdswCglWyM
trEAGs1UeNSZjUYqbEOjnCQ=
=efR4
—–END PGP SIGNATURE—–
