Информация по безопасности / 2014 / Информация о безопасности -- DSA-3046-1 mediawiki

Рекомендация Debian по безопасности

DSA-3046-1 mediawiki -- обновление безопасности

Дата сообщения:

05.10.2014

Затронутые пакеты:

mediawiki

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-7295.

Более подробная информация:

Было сообщено о том, что MediaWiki, движок веб-сайтов для совместной работы, позволяет загружать созданный пользователем код CSS на страницы, на которых использование созданного пользователем кода JavaScript запрещено. Пользователь wiki может обойти это ограничение, выполнив специальные действия по изменению интерфейса через CSS (либо запустив код JavaScript из CSS) на чувствительных к проблемам безопасности страницам, к примеру Special:Preferences и Special:UserLogin. Данное обновление убирает разделение разрешений для модулей CSS и JavaScript.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1:1.19.20+dfsg-0+deb7u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1:1.19.20+dfsg-1.

Рекомендуется обновить пакеты mediawiki.