Säkerhetsbulletin från Debian

DSA-4036-1 mediawiki -- säkerhetsuppdatering

Rapporterat den:
2017-11-15
Berörda paket:
mediawiki
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.
Ytterligare information:

Flera säkerhetsproblem har upptäckts i MediaWiki, en webbsitemotor för samarbete:

  • CVE-2017-8808

    Sajtöverskridande skriptning med icke-standard URL-tolkning och $wgShowExceptionDetails inaktiverat.

  • CVE-2017-8809

    Reflekterad filnedladdning i API.

  • CVE-2017-8810

    I privata wikisidor skiljde inte inloggningsformuläret mellan inloggningsmisslyckande på grund av felaktigt användarnamn och felaktigt lösenord.

  • CVE-2017-8811

    Det var möjligt att förstöra HTML via rå meddelandeparameterexpansion.

  • CVE-2017-8812

    id-attribut i rubriker tillät en rå '>'.

  • CVE-2017-8814

    Språkkonverteraren kunde luras att ersätta text i taggar.

  • CVE-2017-8815

    Osäker attributinjicering via ordlisteregler i språkkonverterare.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1:1.27.4-1~deb9u1.

Vi rekommenderar att ni uppgraderar era mediawiki-paket.