Fedora 20：mediawiki-1.21.3-1.fc20（2013-22047）

medium Nessus プラグイン ID 71407

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

- Kevin Israel（Wikipedia ユーザー PleaseStand）氏が、MediaWiki のブラックリストをバイパスするために、JavaScript をCSS に注入する 2 つのベクターを識別して報告しています（CVE-2013-4567、 CVE-2013-4568）。
<https://bugzilla.wikimedia.org/show_bug.cgi?id=55332>

- ユーザーが自動作成されるときに MediaWiki と CentralNotice 拡張が誤ってキャッシュヘッダーを設定し、ユーザーのセッションクッキーがキャッシュされ、他のユーザーに戻される問題が、サイト問題のデバッグ中に内部レビューで発見されています（CVE-2013-4572）。
<https://bugzilla.wikimedia.org/show_bug.cgi?id=53032>

さらに、セキュリティ問題を修正するために、以下の拡張機能が更新されています：

- CleanChanges：MediaWiki のスチュワードである Teles は、この拡張機能を使用するときに、リビジョン削除された IP が正しく非表示にされないことを報告しています（CVE-2013-4569）。
<https://bugzilla.wikimedia.org/show_bug.cgi?id=54294>

- ZeroRatedMobileAccess：Tomasz Chlebowski 氏は、XSS 脆弱性を報告しました（CVE-2013-4573）。
<https://bugzilla.wikimedia.org/show_bug.cgi?id=55991>

- CentralAuth：MediaWiki 開発者の Platonides 氏は、CentralAuth のログイン CSRF を報告しました（CVE-2012-5394）。
<https://bugzilla.wikimedia.org/show_bug.cgi?id=40747>

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。