Bulletin d'alerte Debian

DSA-3046-1 mediawiki -- Mise à jour de sécurité

Date du rapport :
5 octobre 2014
Paquets concernés :
mediawiki
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-7295.
Plus de précisions :

Il a été signalé que MediaWiki, un moteur de site web pour travail collaboratif, permettait de charger des CSS (feuilles de style en cascade) créées par l'utilisateur sur des pages où l'utilisation de JavaScript créé par l'utilisateur est interdite. Un utilisateur du wiki pourrait être piégé dans la réalisation d'actions en manipulant l'interface à partir de CSS, ou par l'exécution de code JavaScript à partir de CSS, sur des pages sensibles sur le plan de la sécurité telles que Special:Preferences et Special:UserLogin. Cette mise à jour supprime la séparation des allocations de droit pour CSS et pour le module JavaScript.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1:1.19.20+dfsg-0+deb7u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.19.20+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets mediawiki.