Debians sikkerhedsbulletin
DSA-4036-1 mediawiki -- sikkerhedsopdatering
- Rapporteret den:
- 15. nov 2017
- Berørte pakker:
- mediawiki
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.
- Yderligere oplysninger:
-
Adskillige sikkerhedssårbarheder er opdaget i MediaWiki, en webstedsmotor til samarbejde:
- CVE-2017-8808
Udførelse af skripter på tværs af websteder med ikke-standard URL-escaping og $wgShowExceptionDetails deaktivet.
- CVE-2017-8809
Reflected fildownload i API.
- CVE-2017-8810
På private wikier skelnede logonformularen ikke mellem logonfejl på grund af forkert brugernavn og forkert adgangskode.
- CVE-2017-8811
Det var muligt at forvrænge HTML gennem parameterudvidelse af raw-message.
- CVE-2017-8812
Id-attributter i overskrifter tillod rå
>
. - CVE-2017-8814
Sprogkonvertering kunne narres til at erstatte tekst inde i tags.
- CVE-2017-8815
Indsprøjtning af usikker attribut gennem glossary-regler i sprogkonvertering.
I den stabile distribution (stretch), er disse problemer rettet i version 1:1.27.4-1~deb9u1.
Vi anbefaler at du opgraderer dine mediawiki-pakker.
- CVE-2017-8808