[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:50460] [Translate] [SECURITY] [DSA 1564-1] New wordpress packages fix several vulnerabilities

From: NAKANO Takeo <nakano@xxxxxxxxxxxxxxx>
Subject: [debian-users:50460] [Translate] [SECURITY] [DSA 1564-1] New wordpress packages fix several vulnerabilities
Date: Fri, 2 May 2008 14:59:04 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.3 required=10.0 tests=AWL,KI autolearn=disabled version=3.1.7-deb
Message-id: <080502145903.M0417468@xxxxxxxxxxxxxxxxxxxx>
X-mail-count: 50460
X-mailer: mnews [version 1.22PL6T1(IMAP4,UNICODE)] 2003-02/06(Thu)

中野です。
URL 等は Debian-security-announce メーリングリストの元記事を確認ください。
------------------------------------------------------------------------
Debian Security Advisory DSA-1564-1                  security@debian.org
http://www.debian.org/security/                          Thijs Kinkhorst
May 01, 2008                          http://www.debian.org/security/faq
------------------------------------------------------------------------

Package        : wordpress
Vulnerability  : 複数
Problem type   : リモート
Debian-specific: いいえ
CVE Id(s)      : CVE-2007-3639 CVE-2007-4153 CVE-2007-4154 CVE-2007-0540

複数のリモートに対する脆弱性が、weblog マネージャである wordpress
に見付かりました。The Common Vulnerabilities and Exposures project
は以下の問題を特定しました。

CVE-2007-3639

    入力のサニタイズが不十分であるため、リモートからの攻撃者が
    外部のウェブサイトへ訪問者をリダイレクトすることが可能となって
    います。

CVE-2007-4153

    複数のクロスサイトスクリプティング脆弱性により、リモートの認証された
    管理者が、任意の web スクリプトや HTML をインジェクションすることが
    可能になっています。

CVE-2007-4154

    SQL インジェクション脆弱性により、リモートの認証された管理者が、
    任意の SQL コマンドを実行可能になっています。

CVE-2007-0540

    WordPress はリモートからの攻撃者にサービス不能攻撃 (バンド幅・スレッド
    消費) を許す弱点があります。これは pingback サービスのソース URI を、
    バイナリを含むファイルのものにすることで、必要な pingback データを
    含まない場合でもダウンロードが行われてしまうために起こります。

[CVE 名はまだ無い]

    入力のサニタイズが不十分であるため、通常ユーザのアカウントを持つ
    攻撃者が管理者インターフェースにアクセスできてしまいます。


安定版 (stable) ディストリビューション (etch) では、これらの問題は
バージョン 2.0.10-1etch2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題は
バージョン version 2.2.3-1 で修正されています。

直ぐに wordpress パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 4.0 (愛称 etch)
--------------------------------

ソースアーカイブ:

  http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10.orig.tar.gz
    Size/MD5 checksum:   520314 e9d5373b3c6413791f864d56b473dd54
  http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.diff.gz
    Size/MD5 checksum:    29327 663e0b7c1693ff63715e0253ad5cc036
  http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.dsc
    Size/MD5 checksum:      891 2e297f530d472f47b40ba50ea04b1476

アーキテクチャに依存しないパッケージ:

  http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2_all.deb
    Size/MD5 checksum:   521244 4851fe016749b1b9c819fd8d5785198e


  これらのファイルは次の版の安定版リリース時そちらに移されます。

---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

Prev by Date: [debian-users:50459] Re: 漢字コードの問題
Next by Date: [debian-users:50461] [Translate] [SECURITY] [DSA 1565-1] New Linux 2.6.18 packages fix several vulnerabilities
Previous by thread: [debian-users:50462] Re: apt-get : " Hash Sum mismatch" at ftp.jp.debian.org
Next by thread: [debian-users:50461] [Translate] [SECURITY] [DSA 1565-1] New Linux 2.6.18 packages fix several vulnerabilities
Index(es):
- Date
- Thread