• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4036-1 mediawiki -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4036-1 mediawiki -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В MediaWiki, движке веб-сайтов для совместной работы, были обнаружены
многочисленные уязвимости:

CVE-2017-8808
    Межсайтовый скриптинг с экранированием нестандартных URL и
    $wgShowExceptionDetails отключены.
CVE-2017-8809
    Отражение загрузки файла в ИПП.
CVE-2017-8810
    На закрытых вики-страницах в форме входа при ошибке входа не проводится различие
     между неправильным именем пользователя и неправильным паролем.
CVE-2017-8811
    Возможно изменить HTML-код с помощью раскрытия сырого параметра
    сообщения.
CVE-2017-8812
    Разрешено добавлять '>' в id-атрибуты заголовков.
CVE-2017-8814
    Преобразователь языка можно заставить произвести замену текста внутри тегов.
CVE-2017-8815
    Ввод небезопасных атрибутов через правила словаря в преобразователе языка.

В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1:1.27.4-1~deb9u1.
Рекомендуется обновить пакеты mediawiki.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
mediawiki - 1:1.27.4-1~deb9u1
mediawiki-classes - 1:1.27.4-1~deb9u1
Ссылки
http://www.debian.org/security/dsa-4036/

Источник: CVE
Наименование: CVE-2017-8812
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8812

Источник: CVE
Наименование: CVE-2017-8810
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8810

Источник: CVE
Наименование: CVE-2017-8811
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8811

Источник: CVE
Наименование: CVE-2017-8814
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8814

Источник: CVE
Наименование: CVE-2017-8815
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8815

Источник: CVE
Наименование: CVE-2017-8809
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8809

Источник: CVE
Наименование: CVE-2017-8808
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8808