Mandriva Linux セキュリティアドバイザリ:mediawiki(MDVSA-2013:235)
medium Nessus プラグイン ID 69918
Language:
概要
リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。説明
mediawiki で複数の脆弱性が発見され、修正されています:無効な言語が ResourceLoader で指定される際の 1.20.7 より前の MediaWiki におけるフルパスの漏洩(CVE-2013-4301)。
1.20.7 より前の MediaWiki のいくつかの API モジュールにより、CSRF 対策のトークンが JSONP によりアクセスされる可能性があります(CVE-2013-4302)。
1.20.7 より前の MediaWiki の MediaWiki API に問題があり、無効なプロパティ名が古いバージョンの Internet Explorer による XSS に利用される可能性があります(CVE-2013-4303)。
いくつかの詳細不明なセキュリティ問題が、1.20.6 で修正されました。これは、MBS 1 で出荷されたもので、かなり長い間 EOL upstream であった MediaWiki 1.16.5 バージョンを置き換えます。
MediaWiki は、1.18 リリースの Mah 拡張を削除しましたが、現在これは別途利用することができます。これは、mediawiki-math パッケージに同梱されました。
mediawiki-graphviz と mediawiki-ldapauthentication のパッケージも更新され、新しい MediaWiki パッケージと機能するようになっています。
更新済みパッケージが、これらの問題に対するソリューションを提供します。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 69918
ファイル名: mandriva_MDVSA-2013-235.nasl
バージョン: 1.9
タイプ: local
公開日: 2013/9/17
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:mediawiki, p-cpe:/a:mandriva:linux:mediawiki-graphviz, p-cpe:/a:mandriva:linux:mediawiki-ldapauthentication, p-cpe:/a:mandriva:linux:mediawiki-math, p-cpe:/a:mandriva:linux:mediawiki-mysql, p-cpe:/a:mandriva:linux:mediawiki-pgsql, p-cpe:/a:mandriva:linux:mediawiki-sqlite, cpe:/o:mandriva:business_server:1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/9/16
参照情報
CVE: CVE-2013-4301, CVE-2013-4302, CVE-2013-4303
MDVSA: 2013:235