Säkerhetsbulletin från Debian
DSA-4036-1 mediawiki -- säkerhetsuppdatering
- Rapporterat den:
- 2017-11-15
- Berörda paket:
- mediawiki
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2017-8808, CVE-2017-8809, CVE-2017-8810, CVE-2017-8811, CVE-2017-8812, CVE-2017-8814, CVE-2017-8815.
- Ytterligare information:
-
Flera säkerhetsproblem har upptäckts i MediaWiki, en webbsitemotor för samarbete:
- CVE-2017-8808
Sajtöverskridande skriptning med icke-standard URL-tolkning och $wgShowExceptionDetails inaktiverat.
- CVE-2017-8809
Reflekterad filnedladdning i API.
- CVE-2017-8810
I privata wikisidor skiljde inte inloggningsformuläret mellan inloggningsmisslyckande på grund av felaktigt användarnamn och felaktigt lösenord.
- CVE-2017-8811
Det var möjligt att förstöra HTML via rå meddelandeparameterexpansion.
- CVE-2017-8812
id-attribut i rubriker tillät en rå '>'.
- CVE-2017-8814
Språkkonverteraren kunde luras att ersätta text i taggar.
- CVE-2017-8815
Osäker attributinjicering via ordlisteregler i språkkonverterare.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 1:1.27.4-1~deb9u1.
Vi rekommenderar att ni uppgraderar era mediawiki-paket.
- CVE-2017-8808