[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Fedora] Schwachstelle in Wordpress - FEDORA-2009-8307 / FEDORA-2009-8328

To: win-sec-ssc@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Subject: [Fedora] Schwachstelle in Wordpress - FEDORA-2009-8307 / FEDORA-2009-8328
From: WiN Site Security Contacts <win-sec-ssc@xxxxxxxxxxxxxxxxx>
Date: Fri, 7 Aug 2009 15:26:07 +0200 (CEST)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.


Beim Update auf Wordpress 2.8.1 sind die unten genannten Schwachstellen
nicht vollstaendig geschlossen worden. Mit dem Update auf Version 2.8.3
reicht der Hersteller die notwendigen Korrekturen nach.


CVE-2009-2334 - Schwachstelle in WordPress wp-admin/admin.php

  WordPress und WordPress MU verlangen im Skript wp-admin/admin.php fuer
  die Konfiguration von Plugins, durch die potentiell
  sicherheitskritische Informationen erlangt oder Dateien veraendert
  werden koennen, keine Authentifikation als Admin. Beispile hierfuer
  sind:(1) collapsing-archives/options.txt, (2) akismet/readme.txt, (3)
  related-ways-to-take-action/options.php, (4)
  wp-security-scan/securityscan.php und (5) wp-ids/ids-admin.php Ein
  entfernter Anfgreifer kann diese Schwachstelle zudem fuer Cross-site
  Skripting und Denial of Service Angriffe benutzen.

CVE-2009-2335 - Schwachstelle im Login Vorgang von WordPress und
WordPress MU

  WordPress und WordPress MU geben bei missglueckten Logins
  unterschiedliche Antworten abhaengig davon, ob das angegebene
  Benutzerkonto existiert oder nicht. Diese Schwachstelle unterstuetzt
  Angreifer bei brute-force Angriffen.

CVE-2009-2336 - Schwachstelle bei Behandlung vergessener Passwoerter in
WordPress und WordPress MU

  WordPress und WordPress MU geben in dem Dialog zur Zusendung eines
  vergessenen Passwortes unterschiedliche Antworten abhaengig davon, ob
  das angegebene Benutzerkonto existiert oder nicht. Diese Schwachstelle
  unterstuetzt Angreifer bei brute-force Angriffen.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket wordpress

  Fedora 10
  Fedora 11

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00309.html
  https://www.redhat.com/archives/fedora-package-announce/2009-August/msg00282.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
		Klaus Moeller, DFN-CERT

- -- 
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de,  Phone  +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805,  Ust-IdNr.:  DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2009-8307
2009-08-07 04:35:37
- --------------------------------------------------------------------------------

Name        : wordpress
Product     : Fedora 11
Version     : 2.8.3
Release     : 1.fc11
URL         : http://www.wordpress.org
Summary     : WordPress blogging software
Description :
Wordpress is an online publishing / weblog package that makes it very easy,
almost trivial, to get information out to people on the web.

- --------------------------------------------------------------------------------
Update Information:

Update to upstream version 2.8.3:
http://wordpress.org/development/2009/08/wordpress-2-8-3-security-release/
- --------------------------------------------------------------------------------
ChangeLog:

* Mon Aug  3 2009 Adrian Reber <adrian@xxxxxxxx> - 2.8.3-1
- - updated to 2.8.3 for security fixes
* Tue Jul 28 2009 Adrian Reber <adrian@xxxxxxxx> - 2.8.2-1
- - updated to 2.8.2 for security fixes - BZ 512900
- - fixed "wrong-script-end-of-line-encoding" of license.txt
- - correctly disable auto update check
- - fixed an error message from 'find' during the build
* Mon Jul 27 2009 Fedora Release Engineering <rel-eng@xxxxxxxxxxxxxxxxxxxxxxx> - 2.8.1-2
- - Rebuilt for https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild
* Fri Jul 10 2009 Adrian Reber <adrian@xxxxxxxx> - 2.8.1-1
- - updated to 2.8.1 for security fixes - BZ 510745
* Mon Jun 22 2009 Adrian Reber <adrian@xxxxxxxx> - 2.8-1
- - updated to 2.8
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update wordpress' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFKfCtuk0kIxZMiiQ8RAg71AJ4zhmBAkhIURtyGc3XqNRlWmqme6gCgzK+L
B9pkUdDL3mw5bVtl30Fg8Es=
=vqv1
-----END PGP SIGNATURE-----

Prev by Date: [Fedora] Schwachstellen in OpenJDK - FEDORA-2009-8337 / FEDORA-2009-8329
Next by Date: [HP-UX] Schwachstelle im OpenVMS BIND Nameserver - HPSBOV02452 - SSRT090161
Previous by thread: [Fedora] Schwachstellen in OpenJDK - FEDORA-2009-8337 / FEDORA-2009-8329
Next by thread: [HP-UX] Schwachstelle im OpenVMS BIND Nameserver - HPSBOV02452 - SSRT090161
Index(es):
- Date
- Thread