Bulletin d'alerte Debian

DSA-2022-1 mediawiki -- Plusieurs vulnérabilités

Date du rapport :
23 mars 2010
Paquets concernés :
mediawiki
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans MediaWiki, un moteur de wiki pour le web. Les problèmes suivant ont été identifiés :

  • Une absence de vérification des entrées dans le code de validation CSS permet aux rédacteurs d'afficher des images externes dans les pages du wiki. Cela peut poser un problème de vie privée sur les wikis publics puisque cela permet à des attaquants de rassembler des adresses IP et d'autres renseignements en liant ces images vers un serveur web sous leur contrôle.

  • Des vérifications de permission insuffisantes ont été découvertes dans thump.php. Cela peut conduire à la divulgation de fichiers image dont l'accès est restreint à certains utilisateurs (par exemple avec img_auth.php).

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.12.0-2lenny4.

Pour la distribution testing (Squeeze), ces problèmes ont été corrigés dans la version 1:1.15.2-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.15.2-1.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki_1.12.0-2lenny4.dsc
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki_1.12.0.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki_1.12.0-2lenny4.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki_1.12.0-2lenny4_all.deb
Alpha:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_ia64.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mediawiki/mediawiki-math_1.12.0-2lenny4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.