Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:S/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
mediawiki
(any)
Описание
Было сообщено о том, что MediaWiki, движок веб-сайтов для совместной работы,
позволяет загружать созданный пользователем код CSS на страницы, на которых использование
созданного пользователем кода JavaScript запрещено. Пользователь wiki может обойти это ограничение, выполнив специальные действия по
изменению интерфейса через CSS (либо запустив код JavaScript из
CSS) на чувствительных к проблемам безопасности страницам, к примеру Special:Preferences и
Special:UserLogin. Данное обновление убирает разделение разрешений для модулей CSS
и JavaScript.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 1:1.19.20+dfsg-0+deb7u1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 1:1.19.20+dfsg-1.
Рекомендуется обновить пакеты mediawiki.
позволяет загружать созданный пользователем код CSS на страницы, на которых использование
созданного пользователем кода JavaScript запрещено. Пользователь wiki может обойти это ограничение, выполнив специальные действия по
изменению интерфейса через CSS (либо запустив код JavaScript из
CSS) на чувствительных к проблемам безопасности страницам, к примеру Special:Preferences и
Special:UserLogin. Данное обновление убирает разделение разрешений для модулей CSS
и JavaScript.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 1:1.19.20+dfsg-0+deb7u1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 1:1.19.20+dfsg-1.
Рекомендуется обновить пакеты mediawiki.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
mediawiki - 1:1.19.20+dfsg-0+deb7u1
Debian GNU/Linux 7:
noarch:
mediawiki - 1:1.19.20+dfsg-0+deb7u1
Ссылки
http://www.debian.org/security/dsa-3046/
Источник: CVE
Наименование: CVE-2014-7295
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7295
Источник: CVE
Наименование: CVE-2014-7295
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7295