Рекомендация Debian по безопасности
DSA-1901-1 mediawiki1.7 -- несколько уязвимостей
- Дата сообщения:
- 05.10.2009
- Затронутые пакеты:
- mediawiki1.7
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 508868, Ошибка 508869, Ошибка 508870, Ошибка 514547.
В каталоге Mitre CVE: CVE-2008-5249, CVE-2008-5250, CVE-2008-5252, CVE-2009-0737. - Более подробная информация:
-
В mediawiki1.7, движке веб-сайтов для совместной работы, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2008-5249
Давид Ремаль обнаружил, что движок mediawiki1.7 уязвим к межсайтовому скриптингу.
- CVE-2008-5250
Давид Ремаль обнаружил, что mediawiki1.7 при использовании Internet Explorer и включении загрузок, либо при использовании скриптового просмотрщика SVG и включении загрузок SVG позволяет удалённым аутентифицированным пользователям вводить произвольный веб-сценарий или код HTML, редактируя вики-страницу.
- CVE-2008-5252
Давид Ремаль обнаружил, что движок mediawiki1.7 уязвим к подделке межсайтовых запросов в Special:Import.
- CVE-2009-0737
Было обнаружено, что движок mediawiki1.7 уязвим к межсайтовому скриптингу в программе уставки на основе веб.
В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в версии 1.7.1-9etch1 пакета mediawiki1.7, пакет mediawiki не подвержен указанным уязвимостям (он представляет собой метапакет для установки mediawiki1.7).
В стабильном выпуске (lenny) пакет mediawiki1.7 отсутствует, а указанные проблемы были исправлены в версии 1:1.12.0-2lenny3 пакета mediawiki, который был ранее включён в выпуск lenny.
В нестабильном (sid) и тестируемом (squeeze) выпусках пакет mediawiki1.7 отсутствует, а указанные проблемы были исправлены в версии 1:1.14.0-1 пакета mediawiki.
Рекомендуется обновить пакеты mediawiki1.7.
- CVE-2008-5249
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.dsc
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.