Bulletin d'alerte Debian
DSA-1901-1 mediawiki1.7 -- Plusieurs vulnérabilités
- Date du rapport :
- 5 octobre 2009
- Paquets concernés :
- mediawiki1.7
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 508868, Bogue 508869, Bogue 508870, Bogue 514547.
Dans le dictionnaire CVE du Mitre : CVE-2008-5249, CVE-2008-5250, CVE-2008-5252, CVE-2009-0737. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans MediaWiki 1.7, un moteur de site web pour travail collaboratif. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2008-5249
David Remahl a découvert que MediaWiki 1.7 est prédisposé à une attaque de script intersite.
- CVE-2008-5250
David Remahl a découvert que MediaWiki 1.7, si Internet Explorer est utilisé et que les envois de fichier sont permis ou si un navigateur de script SVG est utilisé et que les envois de SVG sont permis, permet aux utilisateurs distants d'injecter un script web ou du HTML arbitraires en éditant une page de wiki.
- CVE-2008-5252
David Remahl a découvert que MediaWiki 1.7 est prédisposé à une vulnérabilité de contrefaçon de requête intersite dans la fonctionnalité Special:Import.
- CVE-2009-0737
MediaWiki 1.7 est prédisposé à une attaque de script intersite dans l'installateur basé sur le web.
Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.7.1-9etch1 pour mediawiki1.7, et mediawiki n'est pas concerné (c'est un métapaquet pour mediawiki1.7).
La distribution stable (Lenny) ne contient pas mediawiki1.7, et ces problèmes ont été corrigés dans la version 1:1.12.0-2lenny3 de mediawiki, déjà incluse dans la publication de Lenny.
Les distributions unstable (Sid) et testing (Squeeze) ne contiennent pas mediawiki1.7, et ces problèmes ont été corrigés dans la version 1:1.14.0-1 de mediawiki.
Nous vous recommandons de mettre à jour vos paquets mediawiki1.7.
- CVE-2008-5249
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.dsc
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.