blob: 1f94c01dc22c3a2f92336d512631345b6602e158 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>ウェブ上のブログ管理ツール WordPress に複数の脆弱性が確認されています。
CVE がリリース告知から割り当てられたために個別の修正を通常判別できず、
パッチをバックポートするのではなく wordpress
パッケージを最新の上流バージョンにアップグレードすることを決定しました。</p>
<p>これはつまり今後の互換性に影響があるかもしれないということで、
特にサードパーティのプラグインやテーマを利用している場合は
アップグレード時に特別な注意を払うようにしてください。ユーザには、
アップグレードの前にそういったものがインストールされているか確認することを勧めます。</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2173">CVE-2013-2173</a>
<p>WordPress
の保護された投稿のパスワード確認でのハッシュ計算の実行方法にサービス拒否が見つかりました。
攻撃者が巧妙に細工した入力をパスワードとして提供することにより、プラットフォームが
CPU を過剰に利用する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2199">CVE-2013-2199</a>
<p>複数のサーバサイドリクエストフォージェリ (SSRF)
脆弱性が HTTP API に見つかりました。これは pingback
リクエストでの SSRF に限定して 3.5.1 で修正された <a
href="https://security-tracker.debian.org/tracker/CVE-2013-0235">CVE-2013-0235</a>
に関連します。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2200">CVE-2013-2200</a>
<p>ユーザ権限の確認が不十分なために特権の昇格につながる可能性があり、
そのユーザからは許可されないはずの投稿を公開したり、
他の投稿者の投稿に割り当てるといったことが可能になります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2201">CVE-2013-2201</a>
<p>不正にエスケープした入力によるクロスサイトスクリプティング
(XSS) 脆弱性が複数、
メディアファイルとプラグインアップロードフォームに見つかりました。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2202">CVE-2013-2202</a>
<p>oEmbed 応答を経由した XML 外部エンティティインジェクション (XXE) 脆弱性</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2203">CVE-2013-2203</a>
<p>完全パス漏洩 (FPD) がファイルアップロード機構に見つかりました。
アップロードディレクトリが書き込み可能ではない場合に返すエラーメッセージに
そのディレクトリの完全パスが記載されていました。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2204">CVE-2013-2204</a>
<p>組み込みの tinyMCE
メディアプラグインでのフラッシュアプレットを経由した内容の偽装。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2205">CVE-2013-2205</a>
<p>組み込みの SWFupload アップローダーにクロスドメイン XSS があります。</p></li>
</ul>
<p>旧安定版 (oldstable) ディストリビューション (squeeze)
では、この問題はバージョン 3.5.2+dfsg-1~deb6u1 で修正されています。</p>
<p>安定版 (stable) ディストリビューション (wheezy)
では、この問題はバージョン 3.5.2+dfsg-1~deb7u1 で修正されています。</p>
<p>テスト版 (testing) ディストリビューション (jessie)
では、この問題はバージョン 3.5.2+dfsg-1 で修正されています。</p>
<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン 3.5.2+dfsg-1 で修正されています。</p>
<p>直ちに wordpress パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2718.data"
|
