Información sobre seguridad / 2020 / Información sobre seguridad -- DSA-4767-1 mediawiki

Aviso de seguridad de Debian

DSA-4767-1 mediawiki -- actualización de seguridad

Fecha del informe:

25 de sep de 2020

Paquetes afectados:

mediawiki

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2020-15005, CVE-2020-25812, CVE-2020-25813, CVE-2020-25814, CVE-2020-25815, CVE-2020-25827, CVE-2020-25828.

Información adicional:

Se descubrieron varios problemas de seguridad en MediaWiki, un motor para trabajo colaborativo en sitios web: SpecialUserRights podía filtrar información sobre si un usuario existía o no; varios flujos de código carecían de saneado de HTML, permitiendo la ejecución de scripts entre sitios («cross-site scripting»), y la validación de contraseñas de un solo uso basadas en tiempo (TOTP, por sus siglas en inglés) aplicaban un límite de frecuencia insuficiente contra intentos de ataque por fuerza bruta.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 1:1.31.10-1~deb10u1.

Le recomendamos que actualice los paquetes de mediawiki.

Para información detallada sobre el estado de seguridad de mediawiki, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/mediawiki