Debians sikkerhedsbulletin
DSA-3046-1 mediawiki -- sikkerhedsopdatering
- Rapporteret den:
- 5. okt 2014
- Berørte pakker:
- mediawiki
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-7295.
- Yderligere oplysninger:
-
Der blev rapporteret at MediaWiki, en webstedsmotor til samarbejdsprojekter, tillod brugerfremstillet CSS på sider, hvor brugerfremstillet JavaScript ikke er tilladt. En wikibruger kunne blive narret til at udføre handlinger, ved fra CSS at manipulere med grænsefladen, eller JavaScript-kode kunne blive udført fra CSS, på sikkerhedsfølsomme sider så som Special:Preferences og Special:UserLogin. Opdateringen fjerner adskillelsen af CSS- og JavaScript-modulernes tilladelser.
I den stabile distribution (wheezy), er dette problem rettet i version 1:1.19.20+dfsg-0+deb7u1.
I den ustabile distribution (sid), er dette problem rettet i version 1:1.19.20+dfsg-1.
Vi anbefaler at du opgraderer dine mediawiki-pakker.