FreeBSD:mediawiki -- 複数の脆弱性(f36bbd66-aa44-11e5-8f5c-002590263bf5)
critical Nessus プラグイン ID 87616
Language:
概要
リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。説明
MediaWiki で以下が報告されています。(T117899)セキュリティ:$wgArticlePath は、スラッシュで始まらない相対パスへ設定することができなくなりました。これはマイナーな XSS 攻撃を可能にしました。たとえば「http://my.wiki.com/wiki/$1」のような構成値は「/wiki/$1」として有効です。「$1」や「wiki/$1」のような値は無効で、現在はエラーを投げます。
(T119309)セキュリティ:編集トークンの比較のために、hash_compare() を使用します。
(T118032)セキュリティ:cURL に、「@」から始まる POST パラメーターをファイルアップロードとして解釈させません。
(T115522)セキュリティ:User::randomPassword() によって生成されたパスワードは、$wgMinimalPasswordLength より短くすることができなくなりました。
(T97897)セキュリティ:IP の解析およびトリムを改善します。以前の動作は、不適切なブロックの生成につながる可能性があります。
(T109724)セキュリティ:Special:MyPage、Special:MyTalk、Special:MyContributions および関連するページは、すでに HTTP リダイレクトを使用しておらず、現在は MediaWiki によってリダイレクトされています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?dddb0671
https://phabricator.wikimedia.org/T117899
https://phabricator.wikimedia.org/T119309
https://phabricator.wikimedia.org/T118032
https://phabricator.wikimedia.org/T115522
https://phabricator.wikimedia.org/T97897
https://phabricator.wikimedia.org/T109724
プラグインの詳細
深刻度: Critical
ID: 87616
ファイル名: freebsd_pkg_f36bbd66aa4411e58f5c002590263bf5.nasl
バージョン: 2.7
タイプ: local
公開日: 2015/12/29
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:mediawiki123, p-cpe:/a:freebsd:freebsd:mediawiki124, p-cpe:/a:freebsd:freebsd:mediawiki125, p-cpe:/a:freebsd:freebsd:mediawiki126, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2015/12/24
脆弱性公開日: 2015/12/18
参照情報
CVE: CVE-2015-8622, CVE-2015-8623, CVE-2015-8624, CVE-2015-8625, CVE-2015-8626, CVE-2015-8627, CVE-2015-8628