Информация по безопасности / 2014 / Информация о безопасности -- DSA-2891-1 mediawiki, mediawiki-extensions

Рекомендация Debian по безопасности

DSA-2891-1 mediawiki, mediawiki-extensions -- обновление безопасности

Дата сообщения:

30.03.2014

Затронутые пакеты:

mediawiki, mediawiki-extensions

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 729629, Ошибка 706601, Ошибка 742857, Ошибка 742857.
В каталоге Mitre CVE: CVE-2013-2031, CVE-2013-2032, CVE-2013-4567, CVE-2013-4568, CVE-2013-4572, CVE-2013-6452, CVE-2013-6453, CVE-2013-6454, CVE-2013-6472, CVE-2014-1610, CVE-2014-2665.

Более подробная информация:

В MediaWiki,движке wiki, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-2031

  Атака с помощью межсайтового скриптинга через корректные кодированные в UTF-7 последовательности в файле формата SVG.

• CVE-2013-4567 & CVE-2013-4568

  Кевин Израиль (пользователь Wikipedia с логином PleaseStand) сообщил о двух способах ввода кода на Javascript из-за неполного списка отклонений в функции очистки CSS.

• CVE-2013-4572

  MediaWiki и расширение CentralNotice некорректно устанавливали заголовки кэша при автоматическом создании пользователя, что приводило к кэшированию файлов куки пользовательской сессии и возврату их другим пользователям.

• CVE-2013-6452

  Крис из RationalWiki сообщил, что могут быть загружены файлы SVG, включающие в себя внешние стили, что может приводить к XSS при использовании XSL с JavaScript.

• CVE-2013-6453

  Функция MediaWiki для очистки SVG можно обойти в случае, если XML считается некорректным.

• CVE-2013-6454

  Функция MediaWiki для очистки CSS не фильтрует атрибуты -o-link, что может использоваться для выполнения JavaScript в Opera 12.

• CVE-2013-6472

  MediaWiki отображает некоторую информацию об удалённых страницах в журнале API, расширенных RecentChanges и пользовательских списках наблюдения.

• CVE-2014-1610

  Имеется возможность удалённого выполнения кода в случае, если включена поддержка загрузки DjVu (обрабатывается собственными средствами) или PDF файлов (в комбинации с расширением PdfHandler). По умолчанию ни один из этих типов файлов не включён в MediaWiki.

• CVE-2014-2665

  Подделка межсайтового запроса в форме ввода данных учётной записи: атакующий может войти с помощью учётной записью жертвы так, чтобы она казалась атакующим.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1:1.19.14+dfsg-0+deb7u1 пакеты mediawiki и версии 3.5~deb7u1 пакета mediawiki-extensions.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1:1.19.14+dfsg-1 пакета mediawiki и версии 3.5 пакета mediawiki-extensions.

Рекомендуется обновить пакеты mediawiki.