Debian セキュリティ勧告
DSA-3046-1 mediawiki -- セキュリティ更新
- 報告日時:
- 2014-10-05
- 影響を受けるパッケージ:
- mediawiki
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2014-7295.
- 詳細:
-
共同作業用ウェブサイトエンジン MediaWiki が、ユーザが作成した javascript が許可されていないページでユーザが作成したCSSの読み込みを許すことが報告されています。 Special:Preferences (特別:個人設定) や Special:UserLogin (特別:ログイン) のようなセキュリティに関わる機密ページでCSSやCSSから実行される javascript コードからのインターフェイスに細工することで wiki ユーザを騙し、操作を実行させることが可能です。この更新ではCSSと javascript のモジュール許可を別個に処理していたのを取りやめています。
安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1:1.19.20+dfsg-0+deb7u1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1:1.19.20+dfsg-1 で修正されています。
直ちに mediawiki パッケージをアップグレードすることを勧めます。