Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3110-1 mediawiki

Bulletin d'alerte Debian

DSA-3110-1 mediawiki -- Mise à jour de sécurité

Date du rapport :

23 décembre 2014

Paquets concernés :

mediawiki

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 773654.
Dans le dictionnaire CVE du Mitre : CVE-2014-9475.

Plus de précisions :

Un défaut a été découvert dans mediawiki, un moteur de wiki : thumb.php génère les messages wikitexte comme du HTML brut, menant éventuellement à des attaques par script intersite (XSS).

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.19.20+dfsg-0+deb7u3 ; cette version corrige en outre une régression introduite dans la version précédente, DSA-3100-1.

Pour la prochaine distribution stable (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.19.20+dfsg-2.2.

Nous vous recommandons de mettre à jour vos paquets mediawiki.