Рекомендация Debian по безопасности

DSA-2891-1 mediawiki, mediawiki-extensions -- обновление безопасности

Дата сообщения:
30.03.2014
Затронутые пакеты:
mediawiki, mediawiki-extensions
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 729629, Ошибка 706601, Ошибка 742857, Ошибка 742857.
В каталоге Mitre CVE: CVE-2013-2031, CVE-2013-2032, CVE-2013-4567, CVE-2013-4568, CVE-2013-4572, CVE-2013-6452, CVE-2013-6453, CVE-2013-6454, CVE-2013-6472, CVE-2014-1610, CVE-2014-2665.
Более подробная информация:

В MediaWiki,движке wiki, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2013-2031

    Атака с помощью межсайтового скриптинга через корректные кодированные в UTF-7 последовательности в файле формата SVG.

  • CVE-2013-4567 & CVE-2013-4568

    Кевин Израиль (пользователь Wikipedia с логином PleaseStand) сообщил о двух способа ввода кода на Javascript из-за неполного списка отклонений в функции очистки CSS.

  • CVE-2013-4572

    MediaWiki и расширение CentralNotice некорректно устанавливали заголовки кэша при автоматическом создании пользователя, что приводило к кэшированию файлов куки пользовательской сессии и возврату их другим пользователям.

  • CVE-2013-6452

    Крис из RationalWiki сообщил, что могут быть загружены файлы SVG, включающие в себя внешние стили, что может приводить к XSS при использовании XSL с JavaScript.

  • CVE-2013-6453

    Функция MediaWiki для очистки SVG можно обойти в случае, если XML считается некорректным.

  • CVE-2013-6454

    Функция MediaWiki для очистки CSS не фильтрует атрибуты -o-link, что может использоваться для выполнения JavaScript в Opera 12.

  • CVE-2013-6472

    MediaWiki отображает некоторую информацию об удалённых страницах в журнале API, расширенных RecentChanges и пользовательских списках наблюдения.

  • CVE-2014-1610

    Имеется возможность удалённого выполнения кода в случае, если включена поддержка загрузки DjVu (обрабатывается собственными средствами) или PDF файлов (в комбинации с расширением PdfHandler). По умолчанию ни один из этих типов файлов не включён в MediaWiki.

  • CVE-2014-2665

    Подделка межсайтового запроса в форме ввода данных учётной записи: атакующий может войти с помощью учётной записью жертвы так, чтобы она казалась атакующим.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1:1.19.14+dfsg-0+deb7u1 пакеты mediawiki и версии 3.5~deb7u1 пакета mediawiki-extensions.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1:1.19.14+dfsg-1 пакета mediawiki и версии 3.5 пакета mediawiki-extensions.

Рекомендуется обновить пакеты mediawiki.