2011年12月20日

[debian-users:55857] [Translate] [SECURITY] [DSA 2366-1] mediawiki security update

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2366-1 security@xxxxx
http://www.debian.org/security/ Jonathan Wiltshire

December 18, 2011 http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package : mediawiki
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2011-1578 CVE-2011-1579 CVE-2011-1580 CVE-2011-1587
CVE-2011-4360 CVE-2011-4361
Debian Bug : 650434

共同作業向けウェブサイトエンジン mediawiki に複数の欠陥が発見されました。

CVE-2011-1578 CVE-2011-1587

きぬがわまさと (masatokinugawa) さんにより、Internet Explorer のバ
ージョン 6 およびそれ以前のクライアントだけで発現する XSS 欠陥が発
見されました。この欠陥を修正するには Web サーバの設定の変更が必要
です。MediaWiki の修正だけで十分なのは、Apache を AllowOverride を
有効にして使っている場合のみです。

必要な設定変更の詳細については、以下の上流の勧告をご覧ください。
http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000096.html
http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000097.html

CVE-2011-1579

Wikipedia ユーザの Suffusion of Yellow さんにより、wikitext パーザ
に CSS 検証誤りが発見されました。この欠陥により、任意のリモートの画
像の埋め込みが可能となるため、Internet Explorer クライアントで XSS
欠陥になる問題、他のクライアントではプライバシの漏洩に繋がる問題で
す。

CVE-2011-1580

MediaWiki 開発者の Happy-Melon さんにより、transwiki のインポート機
能で、フォーム指示の場合にアクセスコントロールチェックが抜けているこ
とが発見されました。transwiki のインポート機能は標準設定では無効化さ
れています。これが有効化されていた場合、$wgImportSources で列挙され
ているリモートの wiki のページをコピーしてくることが可能となります。
この欠陥により、任意のユーザからそのようなインポートが可能となります。

CVE-2011-4360

Alexandre Emsenhuber さんにより、index.php にページ番号を書き換えて
与えることで、プライベート wiki のタイトルが漏洩するという欠陥が発見
されました。ユーザが適正な読み出し権限を持っていない場合、存在するペ
ージの場合は Special:BadTitle にとばされます。

CVE-2011-4361

Tim Starling さんにより、action=ajax リクエストにより、読み出しのパ
ーティションチェックなしに対応関数が起動されていることが発見されまし
た。この欠陥は、プライベート wiki の情報の漏洩に繋がります。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題
はバージョン 1:1.12.0-2lenny9 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ
ージョン 1:1.15.5-2squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ
ージョン 1:1.15.5-5 で修正されています。

直ぐに mediawiki パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2011年12月20日 21:12
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/107777
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。