Säkerhetsbulletin från Debian
DSA-1901-1 mediawiki1.7 -- flera sårbarheter
- Rapporterat den:
- 2009-10-05
- Berörda paket:
- mediawiki1.7
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 508868, Fel 508869, Fel 508870, Fel 514547.
I Mitres CVE-förteckning: CVE-2008-5249, CVE-2008-5250, CVE-2008-5252, CVE-2009-0737. - Ytterligare information:
-
Flera sårbarheter har upptäckts i mediawiki1.7, en webbplatsmotor för samverkande arbete. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2008-5249
David Remahl upptäckte att mediawiki1.7 är sårbar för ett serveröverskridande skriptangrepp.
- CVE-2008-5250
David Remahl upptäckte att mediawiki1.7, när Internet Explorer används och uppladdningar är aktiverade, eller en SVG-skriptsbläddrare används och SVG uppladdningar är aktiverade, tillåter utifrån autentiserade användare att injicera godtyckliga webbskript eller HTML genom att redigera en wikisida.
- CVE-2008-5252
David Remahl upptäckte att mediawiki1.7 är sårbar för en serveröverskridande frågeförfalskningssårbarhet i funktionen Special:Import.
- CVE-2009-0737
Det upptäcktes att mediawiki1.7 är sårbart för ett serveröverskridande skriptangrepp i den webbaserade installeraren.
För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 1.7.1-9etch1 för mediawiki1.7 och mediawiki påverkas inte (det är ett metapaket för mediawiki1.7).
Den stabila utgåvan (Lenny) innehåller inte mediawiki1.7 och dessa problem har rättats i version 1:1.12.0-2lenny3 för mediawiki som redan fanns i Lennyutgåvan.
Den instabila utgåvan (Sid) och uttestningsutgåvan (Squeeze) innehåller inte mediawiki1.7 och för mediawiki har dessa problem rättats i version 1:1.14.0-1.
Vi rekommenderar att ni uppgraderar era mediawiki1.7-paket.
- CVE-2008-5249
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.dsc
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7_1.7.1-9etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mediawiki1.7/mediawiki1.7-math_1.7.1-9etch1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.