Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-4036-1 mediawiki

Debians sikkerhedsbulletin

DSA-4036-1 mediawiki -- sikkerhedsopdatering

Rapporteret den:

15. nov 2017

Berørte pakker:

mediawiki

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.

Yderligere oplysninger:

Adskillige sikkerhedssårbarheder er opdaget i MediaWiki, en webstedsmotor til samarbejde:

• CVE-2017-8808

  Udførelse af skripter på tværs af websteder med ikke-standard URL-escaping og $wgShowExceptionDetails deaktivet.

• CVE-2017-8809

  Reflected fildownload i API.

• CVE-2017-8810

  På private wikier skelnede logonformularen ikke mellem logonfejl på grund af forkert brugernavn og forkert adgangskode.

• CVE-2017-8811

  Det var muligt at forvrænge HTML gennem parameterudvidelse af raw-message.

• CVE-2017-8812

  Id-attributter i overskrifter tillod rå >.

• CVE-2017-8814

  Sprogkonvertering kunne narres til at erstatte tekst inde i tags.

• CVE-2017-8815

  Indsprøjtning af usikker attribut gennem glossary-regler i sprogkonvertering.

I den stabile distribution (stretch), er disse problemer rettet i version 1:1.27.4-1~deb9u1.

Vi anbefaler at du opgraderer dine mediawiki-pakker.