Säkerhetsbulletin från Debian
DSA-3046-1 mediawiki -- säkerhetsuppdatering
- Rapporterat den:
- 2014-10-05
- Berörda paket:
- mediawiki
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-7295.
- Ytterligare information:
-
Det har rapporterats att MediaWiki, en webplatsmotor för samarbete, tillät att ladda användarskapad CSS på sidor där användarskapade JavaScript inte tillåts. En wikianvändare kunde luras att utföra handlingar genom att manipulera gränssnittet via CSS, eller JavaScriptkod som körs från CSS, på säkerhetskänsliga sidor som Special:Preferences och Special:UserLogin. Denna uppdateringen tar bort separationen mellan tillåtelser mellan CSS och JavaScript-moduler.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 1:1.19.20+dfsg-0+deb7u1.
För den instabila utgåvan (Sid) har detta problem rättats i version 1:1.19.20+dfsg-1.
Vi rekommenderar att ni uppgraderar era mediawiki-paket.