Debian DSA-1901-1：mediawiki1.7 - いくつかの脆弱性

medium Nessus プラグイン ID 44766

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

コラボレーション作業のための Website エンジンである mediawiki1.7 で、複数の脆弱性が発見されています。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2008-5249 David Remahl 氏は、mediawiki1.7 がクロスサイトスクリプティング攻撃に脆弱であることを発見しました。

- CVE-2008-5250 David Remahl 氏は、Internet Explorer を使用していてアップロードが有効であるか、SVG スクリプトブラウザを使用していて SVG アップロードが有効であると、mediawiki1.7 によって、認証されているリモートのユーザーが、wiki ページを編集することで、任意の web スクリプトまたは HTML を注入できることを発見しました。

- CVE-2008-5252 David Remahl 氏は、mediawiki1.7 が Special:Import 機能におけるクロスサイトリクエスト偽造に脆弱であることを発見しました。

- CVE-2009-0737 mediawiki1.7 が、Web ベースのインストーラーでのクロスサイトスクリプティング攻撃に脆弱であることが判明しました。

ソリューション

mediawiki1.7 パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（etch）では、これらの問題は mediawiki1.7 用のバージョン 1.7.1-9etch1 で修正されており、mediawiki は影響を受けません（mediawiki1.7 用のメタパッケージ）。

安定版（stable）ディストリビューション（lenny）には mediawiki1.7 は含まれておらず、これらの問題は、すでに lenny リリースに含まれている mediawiki 用のバージョン 1:1.12.0-2lenny3 で修正されています。