Bulletin d'alerte Debian
DSA-2022-1 mediawiki -- Plusieurs vulnérabilités
- Date du rapport :
- 23 mars 2010
- Paquets concernés :
- mediawiki
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans MediaWiki, un moteur de wiki pour le web. Les problèmes suivant ont été identifiés :
Une absence de vérification des entrées dans le code de validation CSS permet aux rédacteurs d'afficher des images externes dans les pages du wiki. Cela peut poser un problème de vie privée sur les wikis publics puisque cela permet à des attaquants de rassembler des adresses IP et d'autres renseignements en liant ces images vers un serveur web sous leur contrôle.
Des vérifications de permission insuffisantes ont été découvertes dans thump.php. Cela peut conduire à la divulgation de fichiers image dont l'accès est restreint à certains utilisateurs (par exemple avec img_auth.php).
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.12.0-2lenny4.
Pour la distribution testing (Squeeze), ces problèmes ont été corrigés dans la version 1:1.15.2-1.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.15.2-1.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki_1.12.0-2lenny4.dsc
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki_1.12.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki_1.12.0-2lenny4.diff.gz
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki_1.12.0.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki_1.12.0-2lenny4_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.