Información sobre seguridad / 2017 / Información sobre seguridad -- DSA-4036-1 mediawiki

Aviso de seguridad de Debian

DSA-4036-1 mediawiki -- actualización de seguridad

Fecha del informe:

15 de nov de 2017

Paquetes afectados:

mediawiki

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.

Información adicional:

Se han descubierto múltiples vulnerabilidades de seguridad en MediaWiki, un motor para trabajo colaborativo en sitios web:

• CVE-2017-8808

  Cross-site scripting con escapes no estándar de URL y con $wgShowExceptionDetails inhabilitado.

• CVE-2017-8809

  Descarga de fichero reflejado («reflected file download») en API.

• CVE-2017-8810

  En wikis privadas, el formulario de acceso («login») no distinguía entre fallo de acceso por error en el nombre de usuario o en la contraseña.

• CVE-2017-8811

  Era posible machacar HTML a través de la sustitución de parámetros de mensajes en bruto («raw message parameter expansion»).

• CVE-2017-8812

  Los atributos id de los encabezados permitían la inyección del carácter '>'.

• CVE-2017-8814

  Podría hacerse que el conversor de lenguaje reemplace texto en el interior de etiquetas.

• CVE-2017-8815

  Inyección insegura de atributos a través de reglas de glosario en conversor de lenguaje.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1:1.27.4-1~deb9u1.

Le recomendamos que actualice los paquetes de mediawiki.