Информация по безопасности / 2017 / Информация о безопасности -- DSA-4036-1 mediawiki

Рекомендация Debian по безопасности

DSA-4036-1 mediawiki -- обновление безопасности

Дата сообщения:

15.11.2017

Затронутые пакеты:

mediawiki

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.

Более подробная информация:

В MediaWiki, движке веб-сайтов для совместной работы, были обнаружены многочисленные уязвимости:

• CVE-2017-8808

  Межсайтовый скриптинг с экранированием нестандартных URL и $wgShowExceptionDetails отключены.

• CVE-2017-8809

  Отражение загрузки файла в ИПП.

• CVE-2017-8810

  На закрытых вики-страницах в форме входа не различаются ошибки ввода неправильного имени пользователя и ввода неправильного пароля.

• CVE-2017-8811

  Возможно изменить HTML-код с помощью раскрытия параметра расширения сырого сообщения.

• CVE-2017-8812

  Разрешено добавлять '>' в id-атрибуты заголовков.

• CVE-2017-8814

  Программу перевода можно заставить произвести замену текста внутри тегов.

• CVE-2017-8815

  Ввод небезопасных атрибутов через правила словаря в преобразователе языка.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1:1.27.4-1~deb9u1.

Рекомендуется обновить пакеты mediawiki.