Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (04.02.2016):
Für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 5, 6 und 7
stehen Sicherheitsupdates auf das WordPress 4.4.2 Sicherheits- und
Wartungsrelease im Status ‘testing’ bereit.
Version 1 (03.02.2016):
Neues Advisory
Betroffene Software:
WordPress <= 4.4.1 Betroffene Plattformen: WordPress Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 In WordPress existieren zwei Schwachstellen, die einem entfernten, nicht authentifizierten Angreifer über einen 'Server Side Request Forgery'-Angriff und eine versteckte URL-Weiterleitung das Ausspähen von Informationen ermöglichen. Der Hersteller veröffentlicht WordPress in Version 4.4.2 als Sicherheits- und Wartungsrelease und empfiehlt die Installation zur Behebung der Schwachstellen. Patch: Fedora Security Update FEDORA-2016-9d0a25ea07 (Fedora 22) https://bodhi.fedoraproject.org/updates/FEDORA-2016-9d0a25ea07
Patch:
Fedora Security Update FEDORA-2016-b61929db9e (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b61929db9e
Patch:
Fedora Security Update FEDORA-EPEL-2016-638137e4de (Fedora EPEL 7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-638137e4de
Patch:
Fedora Security Update FEDORA-EPEL-2016-991b4f1f7d (Fedora EPEL 5)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-991b4f1f7d
Patch:
Fedora Security Update FEDORA-EPEL-2016-cd56c646d5 (Fedora EPEL 6)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-cd56c646d5
Patch:
WordPress 4.4.2 Release Notes
https://wordpress.org/news/2016/02/wordpress-4-4-2-security-and-maintenance-release/
WordPress-2016-02: Schwachstelle in WordPress ermöglicht Ausspähen von
Informationen
Eine Schwachstelle auf der Login-Seite von WordPress ermöglicht die
Weiterleitung eines URL auf eine nicht vertrauenswürdige Seite (Open
Redirect). Benutzer können im Anschluss durch eine gefälschte Seite
verleitet werden sensitive Informationen preiszugeben. Ein entfernter, nicht
authentifizierter Angreifer kann diese ausspähen.
WordPress-2016-01: Schwachstelle in WordPress ermöglicht Ausspähen von
Informationen
Eine nicht näher beschriebene Schwachstelle in WordPress ermöglicht einem
entfernten, nicht authentifizierten Angreifer das Ausspähen von
Informationen in bestimmten lokalen URLs mit Hilfe eines ‘Server Side
Request Forgery’ (SSRF)-Angriffs. Darüber hinaus kann der Angreifer
möglicherweise Dateien manipulieren oder die Verfügbarkeit des Dienstes
einschränken.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0199/
Fedora Security Update FEDORA-2016-9d0a25ea07 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9d0a25ea07
Fedora Security Update FEDORA-2016-b61929db9e (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b61929db9e
Fedora Security Update FEDORA-EPEL-2016-638137e4de (Fedora EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-638137e4de
Fedora Security Update FEDORA-EPEL-2016-991b4f1f7d (Fedora EPEL 5):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-991b4f1f7d
Fedora Security Update FEDORA-EPEL-2016-cd56c646d5 (Fedora EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-cd56c646d5
WordPress 4.4.2 Release Notes:
https://wordpress.org/news/2016/02/wordpress-4-4-2-security-and-maintenance-release/
Softpedia-Eintrag zum WordPress-Release:
http://news.softpedia.com/news/wordpress-4-4-2-fixes-xss-and-open-redirect-security-issues-499795.shtml
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
