Рекомендация Debian по безопасности
DSA-4036-1 mediawiki -- обновление безопасности
- Дата сообщения:
- 15.11.2017
- Затронутые пакеты:
- mediawiki
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.
- Более подробная информация:
-
В MediaWiki, движке веб-сайтов для совместной работы, были обнаружены многочисленные уязвимости:
- CVE-2017-8808
Межсайтовый скриптинг с экранированием нестандартных URL и $wgShowExceptionDetails отключены.
- CVE-2017-8809
Отражение загрузки файла в ИПП.
- CVE-2017-8810
На закрытых вики-страницах в форме входа не различаются ошибки ввода неправильного имени пользователя и ввода неправильного пароля.
- CVE-2017-8811
Возможно изменить HTML-код с помощью раскрытия параметра расширения сырого сообщения.
- CVE-2017-8812
Разрешено добавлять '>' в id-атрибуты заголовков.
- CVE-2017-8814
Программу перевода можно заставить произвести замену текста внутри тегов.
- CVE-2017-8815
Ввод небезопасных атрибутов через правила словаря в преобразователе языка.
В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1:1.27.4-1~deb9u1.
Рекомендуется обновить пакеты mediawiki.
- CVE-2017-8808