Рекомендация Debian по безопасности

DSA-4036-1 mediawiki -- обновление безопасности

Дата сообщения:
15.11.2017
Затронутые пакеты:
mediawiki
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.
Более подробная информация:

В MediaWiki, движке веб-сайтов для совместной работы, были обнаружены многочисленные уязвимости:

  • CVE-2017-8808

    Межсайтовый скриптинг с экранированием нестандартных URL и $wgShowExceptionDetails отключены.

  • CVE-2017-8809

    Отражение загрузки файла в ИПП.

  • CVE-2017-8810

    На закрытых вики-страницах в форме входа не различаются ошибки ввода неправильного имени пользователя и ввода неправильного пароля.

  • CVE-2017-8811

    Возможно изменить HTML-код с помощью раскрытия параметра расширения сырого сообщения.

  • CVE-2017-8812

    Разрешено добавлять '>' в id-атрибуты заголовков.

  • CVE-2017-8814

    Программу перевода можно заставить произвести замену текста внутри тегов.

  • CVE-2017-8815

    Ввод небезопасных атрибутов через правила словаря в преобразователе языка.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1:1.27.4-1~deb9u1.

Рекомендуется обновить пакеты mediawiki.