Debians sikkerhedsbulletin

DSA-4036-1 mediawiki -- sikkerhedsopdatering

Rapporteret den:
15. nov 2017
Berørte pakker:
mediawiki
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.
Yderligere oplysninger:

Adskillige sikkerhedssårbarheder er opdaget i MediaWiki, en webstedsmotor til samarbejde:

  • CVE-2017-8808

    Udførelse af skripter på tværs af websteder med ikke-standard URL-escaping og $wgShowExceptionDetails deaktivet.

  • CVE-2017-8809

    Reflected fildownload i API.

  • CVE-2017-8810

    På private wikier skelnede logonformularen ikke mellem logonfejl på grund af forkert brugernavn og forkert adgangskode.

  • CVE-2017-8811

    Det var muligt at forvrænge HTML gennem parameterudvidelse af raw-message.

  • CVE-2017-8812

    Id-attributter i overskrifter tillod rå >.

  • CVE-2017-8814

    Sprogkonvertering kunne narres til at erstatte tekst inde i tags.

  • CVE-2017-8815

    Indsprøjtning af usikker attribut gennem glossary-regler i sprogkonvertering.

I den stabile distribution (stretch), er disse problemer rettet i version 1:1.27.4-1~deb9u1.

Vi anbefaler at du opgraderer dine mediawiki-pakker.