Debian セキュリティ勧告

DSA-3046-1 mediawiki -- セキュリティ更新

報告日時:
2014-10-05
影響を受けるパッケージ:
mediawiki
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-7295.
詳細:

共同作業用ウェブサイトエンジン MediaWiki が、ユーザが作成した javascript が許可されていないページでユーザが作成したCSSの読み込みを許すことが報告されています。 Special:Preferences (特別:個人設定) や Special:UserLogin (特別:ログイン) のようなセキュリティに関わる機密ページでCSSやCSSから実行される javascript コードからのインターフェイスに細工することで wiki ユーザを騙し、操作を実行させることが可能です。この更新ではCSSと javascript のモジュール許可を別個に処理していたのを取りやめています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1:1.19.20+dfsg-0+deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1:1.19.20+dfsg-1 で修正されています。

直ちに mediawiki パッケージをアップグレードすることを勧めます。