Säkerhetsbulletin från Debian
DSA-2596-1 mediawiki-extensions -- domänöverskridande skriptangrepp
- Rapporterat den:
- 2012-12-30
- Berörda paket:
- mediawiki-extensions
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 696179.
- Ytterligare information:
-
Thorsten Glaser upptäckte att tillägget RSSReader för MediaWiki, en webbplatsmotor för samarbete, inte kodar escape-taggar ordentligt i flöden. Detta kunde tillåta ett illasinnat flöde att injicera JavaScript i MediaWikisidorna.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.3squeeze2.
För uttestningsutgåvan (Wheezy), kommer detta problem rättas inom kort.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.11.
Vi rekommenderar att ni uppgraderar era mediawiki-extensions-paket.