Debians sikkerhedsbulletin
DSA-1901-1 mediawiki1.7 -- flere sårbarheder
- Rapporteret den:
- 5. okt 2009
- Berørte pakker:
- mediawiki1.7
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 508868, Fejl 508869, Fejl 508870, Fejl 514547.
I Mitres CVE-ordbog: CVE-2008-5249, CVE-2008-5250, CVE-2008-5252, CVE-2009-0737. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i mediawiki1.7, en webstedsmaskine til samarbejdsprojekter. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2008-5249
David Remahl opdagede at mediawiki1.7 var sårbar over for et angreb i forbindelse med udførelse af skripter på tværs af websteder.
- CVE-2008-5250
David Remahl opdagede at mediawiki1.7, når Internet Explorer anvendes og filupload er aktiveret, eller der anvendes en browser som understøtter SVG-scripting og SVG-upload er aktiveret, tillod at autentificerede brugere kunne indsprøjte vilkårligt webskript eller HTML ved at redigere en wikiside.
- CVE-2008-5252
David Remahl opdagede at mediawiki1.7 var sårbar over for en forespørgselsforfalskning på tværs af websteder i Special:Import-funktionen.
- CVE-2009-0737
Man opdagede at mediawiki1.7 var sårbar over for et skriptudførelsesangreb i det webbaserede installeringsprogram.
I den gamle stabile distribution (etch), er disse problemer rettet i version 1.7.1-9etch1 af mediawiki1.7, og mediawiki er ikke påvirket (det er en metapakke for mediawiki1.7).
Den stabile distribution (lenny) indeholder ikke mediawiki1.7, mens disse problemer er rettet i version 1:1.12.0-2lenny3 af mediawiki, der allerede er medtaget i udgivelsen af lenny.
Den ustabile distribution (sid) og distributionen testing (squeeze) indeholder ikke mediawiki1.7, mens disse problemer er rettet i version 1:1.14.0-1 af mediawiki.
Vi anbefaler at du opgraderer dine mediawiki1.7-pakker.
- CVE-2008-5249
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.dsc
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.