セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3046-1 mediawiki

Debian セキュリティ勧告

DSA-3046-1 mediawiki -- セキュリティ更新

報告日時:

2014-10-05

影響を受けるパッケージ:

mediawiki

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-7295.

詳細:

共同作業用ウェブサイトエンジン MediaWiki が、ユーザが作成した javascript が許可されていないページでユーザが作成したCSSの読み込みを許すことが報告されています。 Special:Preferences (特別:個人設定) や Special:UserLogin (特別:ログイン) のようなセキュリティに関わる機密ページでCSSやCSSから実行される javascript コードからのインターフェイスに細工することで wiki ユーザを騙し、操作を実行させることが可能です。この更新ではCSSと javascript のモジュール許可を別個に処理していたのを取りやめています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1:1.19.20+dfsg-0+deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1:1.19.20+dfsg-1 で修正されています。

直ちに mediawiki パッケージをアップグレードすることを勧めます。