[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:55857] [Translate] [SECURITY] [DSA 2366-1] mediawiki security update



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2366-1                   security@debian.org
http://www.debian.org/security/                        Jonathan Wiltshire
December 18, 2011                      http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : mediawiki
Vulnerability  : 複数
Problem type   : リモート
Debian-specific: いいえ
CVE ID         : CVE-2011-1578 CVE-2011-1579 CVE-2011-1580 CVE-2011-1587
                 CVE-2011-4360 CVE-2011-4361
Debian Bug     : 650434

共同作業向けウェブサイトエンジン mediawiki に複数の欠陥が発見されました。

CVE-2011-1578 CVE-2011-1587

   きぬがわまさと (masatokinugawa) さんにより、Internet Explorer のバ
   ージョン 6 およびそれ以前のクライアントだけで発現する XSS 欠陥が発
   見されました。この欠陥を修正するには Web サーバの設定の変更が必要
   です。MediaWiki の修正だけで十分なのは、Apache を AllowOverride を
   有効にして使っている場合のみです。

   必要な設定変更の詳細については、以下の上流の勧告をご覧ください。
  http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000096.html
  http://lists.wikimedia.org/pipermail/mediawiki-announce/2011-April/000097.html

CVE-2011-1579

   Wikipedia ユーザの Suffusion of Yellow さんにより、wikitext パーザ
   に CSS 検証誤りが発見されました。この欠陥により、任意のリモートの画
   像の埋め込みが可能となるため、Internet Explorer クライアントで XSS
   欠陥になる問題、他のクライアントではプライバシの漏洩に繋がる問題で
   す。

CVE-2011-1580

   MediaWiki 開発者の Happy-Melon さんにより、transwiki のインポート機
   能で、フォーム指示の場合にアクセスコントロールチェックが抜けているこ
   とが発見されました。transwiki のインポート機能は標準設定では無効化さ
   れています。これが有効化されていた場合、$wgImportSources で列挙され
   ているリモートの wiki のページをコピーしてくることが可能となります。
   この欠陥により、任意のユーザからそのようなインポートが可能となります。

CVE-2011-4360

   Alexandre Emsenhuber さんにより、index.php にページ番号を書き換えて
   与えることで、プライベート wiki のタイトルが漏洩するという欠陥が発見
   されました。ユーザが適正な読み出し権限を持っていない場合、存在するペ
   ージの場合は Special:BadTitle にとばされます。

CVE-2011-4361

   Tim Starling さんにより、action=ajax リクエストにより、読み出しのパ
   ーティションチェックなしに対応関数が起動されていることが発見されまし
   た。この欠陥は、プライベート wiki の情報の漏洩に繋がります。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題
はバージョン 1:1.12.0-2lenny9 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ
ージョン 1:1.15.5-2squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ
ージョン 1:1.15.5-5 で修正されています。

直ぐに mediawiki パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------