Debian セキュリティ勧告

DSA-1901-1 mediawiki1.7 -- 複数の脆弱性

報告日時:
2009-10-05
影響を受けるパッケージ:
mediawiki1.7
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 508868, バグ 508869, バグ 508870, バグ 514547.
Mitre の CVE 辞書: CVE-2008-5249, CVE-2008-5250, CVE-2008-5252, CVE-2009-0737.
詳細:

共同作業向けウェブサイトエンジン mediawiki1.7 に、複数の問題が発見され ました。The Common Vulnerabilities and Exposures project は以下の問題を 認識しています。

  • CVE-2008-5249

    David Remahl さんにより、mediawiki1.7 がクロスサイトスクリプティング攻 撃に対して脆弱であることが発見されました。

  • CVE-2008-5250

    David Remahl さんにより、mediawiki1.7 が Internet Explorer との組み合 わせでアップロードを有効化している場合、または SVG スクリプティングブ ラウザを用いて SVG アップロードを有効化している場合に、リモートからの 認証済みのユーザが、wiki ページの編集により任意のウェブスクリプトまた は HTML を挿入可能であることが発見されました。

  • CVE-2008-5252

    David Remahl さんにより、mediawiki1.7 の Special:Import 機能がクロスサ イトリクエストフォージェリ攻撃に対して脆弱であることが発見されました。

  • CVE-2009-0737

    mediawiki1.7 のウェブベースインストーラがクロスサイトスクリプティング攻 撃に対して脆弱であることが発見されました。

旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は バージョン 1.7.1-9etch1 の mediawiki1.7 で修正されています。mediawiki に は影響はありません (mediawiki は mediawiki1.7 のメタパッケージです)。

安定版ディストリビューション (lenny) には mediawiki1.7 は収録されておら ず、mediawiki のバージョン 1:1.12.0-2lenny3 で修正されています。これは 既に lenny に収録済みです。

不安定版ディストリビューション (sid) には mediawiki1.7 は収録されておら ず、mediawiki のバージョン 1:1.14.0-1 で修正されています。

直ぐに mediawiki1.7 パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.dsc
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.diff.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。