Debian セキュリティ勧告
DSA-1901-1 mediawiki1.7 -- 複数の脆弱性
- 報告日時:
- 2009-10-05
- 影響を受けるパッケージ:
- mediawiki1.7
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 508868, バグ 508869, バグ 508870, バグ 514547.
Mitre の CVE 辞書: CVE-2008-5249, CVE-2008-5250, CVE-2008-5252, CVE-2009-0737. - 詳細:
-
共同作業向けウェブサイトエンジン mediawiki1.7 に、複数の問題が発見され ました。The Common Vulnerabilities and Exposures project は以下の問題を 認識しています。
- CVE-2008-5249
David Remahl さんにより、mediawiki1.7 がクロスサイトスクリプティング攻 撃に対して脆弱であることが発見されました。
- CVE-2008-5250
David Remahl さんにより、mediawiki1.7 が Internet Explorer との組み合 わせでアップロードを有効化している場合、または SVG スクリプティングブ ラウザを用いて SVG アップロードを有効化している場合に、リモートからの 認証済みのユーザが、wiki ページの編集により任意のウェブスクリプトまた は HTML を挿入可能であることが発見されました。
- CVE-2008-5252
David Remahl さんにより、mediawiki1.7 の Special:Import 機能がクロスサ イトリクエストフォージェリ攻撃に対して脆弱であることが発見されました。
- CVE-2009-0737
mediawiki1.7 のウェブベースインストーラがクロスサイトスクリプティング攻 撃に対して脆弱であることが発見されました。
旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は バージョン 1.7.1-9etch1 の mediawiki1.7 で修正されています。mediawiki に は影響はありません (mediawiki は mediawiki1.7 のメタパッケージです)。
安定版ディストリビューション (lenny) には mediawiki1.7 は収録されておら ず、mediawiki のバージョン 1:1.12.0-2lenny3 で修正されています。これは 既に lenny に収録済みです。
不安定版ディストリビューション (sid) には mediawiki1.7 は収録されておら ず、mediawiki のバージョン 1:1.14.0-1 で修正されています。
直ぐに mediawiki1.7 パッケージをアップグレードすることを勧めます。
- CVE-2008-5249
- 修正:
-
Debian GNU/Linux 4.0 (etch)
- ソース:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.dsc
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。