Рекомендация Debian по безопасности

DSA-1901-1 mediawiki1.7 -- несколько уязвимостей

Дата сообщения:
05.10.2009
Затронутые пакеты:
mediawiki1.7
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 508868, Ошибка 508869, Ошибка 508870, Ошибка 514547.
В каталоге Mitre CVE: CVE-2008-5249, CVE-2008-5250, CVE-2008-5252, CVE-2009-0737.
Более подробная информация:

В mediawiki1.7, движке веб-сайтов для совместной работы, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2008-5249

    Давид Ремаль обнаружил, что движок mediawiki1.7 уязвим к межсайтовому скриптингу.

  • CVE-2008-5250

    Давид Ремаль обнаружил, что mediawiki1.7 при использовании Internet Explorer и включении загрузок, либо при использовании скриптового просмотрщика SVG и включении загрузок SVG позволяет удалённым аутентифицированным пользователям вводить произвольный веб-сценарий или код HTML, редактируя вики-страницу.

  • CVE-2008-5252

    Давид Ремаль обнаружил, что движок mediawiki1.7 уязвим к подделке межсайтовы запросов в Special:Import.

  • CVE-2009-0737

    Было обнаружено, что движок mediawiki1.7 уязвим к межсайтовому скриптингу в программе уставки на основе веб.

В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в версии 1.7.1-9etch1 пакета mediawiki1.7, пакет mediawiki не подвержен указанным уязвимостям (он представляет собой метапакет для установки mediawiki1.7).

В стабильном выпуске (lenny) пакет mediawiki1.7 отсутствует, а указанные проблемы были исправлены в версии 1:1.12.0-2lenny3 пакета mediawiki, который был ранее включён в выпуск lenny.

В нестабильном (sid) и тестируемом (squeeze) выпусках пакет mediawiki1.7 отсутствует, а указанные проблемы были исправлены в версии 1:1.14.0-1 пакета mediawiki.

Рекомендуется обновить пакеты mediawiki1.7.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.dsc
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.