セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3110-1 mediawiki

Debian セキュリティ勧告

DSA-3110-1 mediawiki -- セキュリティ更新

報告日時:

2014-12-23

影響を受けるパッケージ:

mediawiki

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 773654.
Mitre の CVE 辞書: CVE-2014-9475.

詳細:

wiki エンジン mediawiki に欠陥が発見されています: thumb.php は wikitext メッセージを生の HTML として出力するため、潜在的にクロスサイトスクリプティング (XSS) につながります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.19.20+dfsg-0+deb7u3 で修正されています。 このバージョンでは追加で、前のリリース DSA-3100-1 で生じたリグレッションについても修正しています。

次期安定版 (stable) ディストリビューション (jessie) 及び不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1:1.19.20+dfsg-2.2 で修正されています。

直ちに mediawiki パッケージをアップグレードすることを勧めます。