Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2891-1 mediawiki, mediawiki-extensions

Bulletin d'alerte Debian

DSA-2891-1 mediawiki, mediawiki-extensions -- Mise à jour de sécurité

Date du rapport :

30 mars 2014

Paquets concernés :

mediawiki, mediawiki-extensions

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 729629, Bogue 706601, Bogue 742857, Bogue 742857.
Dans le dictionnaire CVE du Mitre : CVE-2013-2031, CVE-2013-2032, CVE-2013-4567, CVE-2013-4568, CVE-2013-4572, CVE-2013-6452, CVE-2013-6453, CVE-2013-6454, CVE-2013-6472, CVE-2014-1610, CVE-2014-2665.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans MediaWiki, un moteur de wiki. Le projet Common Vulnerabilities and Exposures (CVE) identifie les problèmes suivants :

• CVE-2013-2031

  Attaque de script intersite à l’aide d’une séquence valide de caractères UTF-7 dans un fichier SVG.

• CVE-2013-4567 & CVE-2013-4568

  Kevin Israel (utilisateur PleaseStand dans Wikipédia) a signalé deux façons d'injecter du code Javascript à cause d'une liste noire incomplète dans la fonction de vérification du CSS.

• CVE-2013-4572

  MediaWiki et l'extension CentralNotice ne positionnaient pas correctement les en-têtes du cache lors de la création d'un utilisateur, provoquant la mise en cache des cookies de la session, et le renvoi à d'autres utilisateurs.

• CVE-2013-6452

  Chris, de RationalWiki, a signalé qu'un fichier SVG qui contient des feuilles de styles externes pourrait être téléversé, ce qui pourrait conduire à une attaque de script intersite si une feuille XSL était utilisée pour inclure du JavaScript.

• CVE-2013-6453

  La vérification des SVG de MediaWiki pourrait être contournée si le XML est considéré incorrect.

• CVE-2013-6454

  La vérification du CSS de MediaWiki ne filtre pas les attributs -o-link, ce qui pourrait être utilisé pour exécuter du code JavaScript dans Opera 12.

• CVE-2013-6472

  MediaWiki affiche des informations à propos des pages supprimées dans l'API du journal, le RecentChanges amélioré, et les watchlists des utilisateurs.

• CVE-2014-1610

  Une vulnérabilité d'exécution de code à distance existait si la prise en charge de l'envoi de fichiers DjVu (native) ou PDF (en combinaison avec l'extension PdfHandler) était activée. Aucun de ces types de fichier n'est activé par défaut dans MediaWiki.

• CVE-2014-2665

  Contrefaçon de requête intersite dans le formulaire de connexion : un attaquant pourrait connecter une victime comme attaquant.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1:1.19.14+dfsg-0+deb7u1 du paquet mediawiki et 3.5~deb7u1 du paquet mediawiki-extensions.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.19.14+dfsg-1 du paquet mediawiki et 3.5 du paquet mediawiki-extensions.

Nous vous recommandons de mettre à jour vos paquets mediawiki.