Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-4036-1 mediawiki

Säkerhetsbulletin från Debian

DSA-4036-1 mediawiki -- säkerhetsuppdatering

Rapporterat den:

2017-11-15

Berörda paket:

mediawiki

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i MediaWiki, en webbsitemotor för samarbete:

• CVE-2017-8808

  Sajtöverskridande skriptning med icke-standard URL-tolkning och $wgShowExceptionDetails inaktiverat.

• CVE-2017-8809

  Reflekterad filnedladdning i API.

• CVE-2017-8810

  I privata wikisidor skiljde inte inloggningsformuläret mellan inloggningsmisslyckande på grund av felaktigt användarnamn och felaktigt lösenord.

• CVE-2017-8811

  Det var möjligt att förstöra HTML via rå meddelandeparameterexpansion.

• CVE-2017-8812

  id-attribut i rubriker tillät en rå '>'.

• CVE-2017-8814

  Språkkonverteraren kunde luras att ersätta text i taggar.

• CVE-2017-8815

  Osäker attributinjicering via ordlisteregler i språkkonverterare.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1:1.27.4-1~deb9u1.

Vi rekommenderar att ni uppgraderar era mediawiki-paket.