1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flere sårbarheder</define-tag>
<define-tag moreinfo>
<p>Flere sårbarheder blev opdaget i WordPress, et værktøj til webblogging. Da
CVE'erne blev registreret ud fra udgivelsesannonceringer og de specifikke
rettelser almindeligvis ikke identificeres, har man besluttet at opgradere
wordpress-pakken til den seneste opstrømsversion, i stedet for at tilbageføre
rettelserne.</p>
<p>Det betyder at man skal være ekstra omhyggelig ved opgradering, særligt ved
anvendelse af tredjepartsplugins- eller tema, da kompabiliteten kan være blevet
påvirket, som tiden er gået. Vi anbefaler at brugere kontrollerer deres
installation, før opgraderingen udføres.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2173">CVE-2013-2173</a>
<p>Et lammelsesangreb (denial of service) blev fundet i den måde, hvorpå
WordPress udfører hashberegninger, når adgangskoder til beskyttede indlæg
kontrolleres. En angriber, der leverer omhyggeligt fabrikerede inddata som
en adgangskode, kunne få platformen til at bruge alt for mange
CPU-ressourcer.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2199">CVE-2013-2199</a>
<p>Flere sårbarheder i forbindelse med forespørgselsforfalskninger på
serversiden (SSRF), blev fundet i HTTP-API'et. Det er relateret til
<a href="https://security-tracker.debian.org/tracker/CVE-2013-0235">\
CVE-2013-0235</a>, der specifikt vedrørte SSRF i pingback-forespørgsler og
som blev rettet i version 3.5.1.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2200">CVE-2013-2200</a>
<p>Utilstrækkelig kontrol af en brugers muligheder, kunne føre til en
rettighedsforøgelse, hvilket medførte at vedkommende kunne udgive indlæg,
når brugerrollen ellers ikke tillader det, samt tildele indlæg til andre
brugere.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2201">CVE-2013-2201</a>
<p>Flere sårbarheder i forbindelse med udførelse af skripter på tværs af
websteder (XSS), på grund af dårligt indkapslede inddata, blev fundet i
mediefilerne og pluginuploadformularerne.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2202">CVE-2013-2202</a>
<p>Sårbarhed i forbindelse med XML External Entity Injection (XXE) via
oEmbed-svar.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2203">CVE-2013-2203</a>
<p>En komplet sti-afsløring (FPD) blev fundet i filuploadmekanismen.
Hvis uploadmappen ikke var skrivbar, indeholdt fejlbeskeden den komplette
sti til mappen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2204">CVE-2013-2204</a>
<p>Indholdsforfalskning via Flash-applet i den indlejrede
tinyMCE-medieplugin.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2205">CVE-2013-2205</a>
<p>XSS på tværs af domæner i den indlejrede SWFupload-uploader.</p></li>
</ul>
<p>I den gamle stabile distribution (squeeze), er disse problemer rettet i
version 3.5.2+dfsg-1~deb6u1.</p>
<p>I den stabile distribution (wheezy), er disse problemer rettet i
version 3.5.2+dfsg-1~deb7u1.</p>
<p>I distributionen testing (jessie), er disse problemer rettet i
version 3.5.2+dfsg-1.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i
version 3.5.2+dfsg-1.</p>
<p>Vi anbefaler at du opgraderer dine wordpress-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2718.data"
|
