DebianDLA-2504-1：mediaWikiのセキュリティ更新

medium Nessus プラグイン ID 144574

Language:

概要

リモートのDebianホストにセキュリティ更新プログラムがありません。

説明

共同作業のためのWebサイトエンジンであるMediaWikiで、複数のセキュリティの問題が発見されました：

CVE-2020-15005

img_auth.php画像認証セキュリティ機能を使用しているキャッシングサーバーの背後にあるプライベートwikiは、ファイルにパブリックでキャッシュさせていた可能性があります。このため、権限のないユーザーがファイルを閲覧することが可能でした。

CVE-2020-35477

状況によっては、ログエントリを非表示にする正当な試みをブロックします。

CVE-2020-35479

BlockLogFormatter.phpを介したXSSを許可します。Language: : translateBlockExpiry自体が、すべてのコードパスでエスケープするわけではありません。例えば、Language: : userTimeAndDateの応答は、1か月の値ではHTMLに対して常に安全ではありません。

CVE-2020-35480

ビューアーが閲覧できない見つからないユーザー（アカウントが存在しない）と非表示ユーザー（悪用などのために明示的に非表示にされたアカウント）の処理が異なるため、非表示ステータスに関する機密情報が権限のないユーザーに公開されます。

Debian 9 'Stretch'では、これらの問題はバージョン1:1.27.7-1~deb9u7で修正されています。

お使いのmediawikiパッケージをアップグレードすることを推奨します。

mediawikiの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/mediawiki

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。