Fedora 25：mediawiki（2017-3fb95ed01f）

critical Nessus プラグイン ID 99408

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

-（T109140）（T122209）Special：UserLoginおよびSpecial：検索により、インターウィキリンクへのリダイレクトが可能になります。（CVE-2017-0363、CVE-2017-0364）

-（T144845）SearchHighlighterのXSS：：$wgAdvancedSearchHighlightingがtrueの場合、highlightText()。（CVE-2017-0365）

-（T125177）APIパラメーターは、その値をログに保持しないように「機密」としてマークされるようになりました。
（CVE-2017-0361）

-（T150044）ウォッチリストの「閲覧したすべてのページをマーク」には、CSRFトークンが必要になりました。（CVE-2017-0362）

-（T156184）メッセージのエスケープコンテンツモデル/フォーマットurlパラメーター。（CVE-2017-0368）

-（T151735）DTD宣言でデフォルトの属性値を使用するSVGフィルター回避。（CVE-2017-0366）

-（T48143）ファイルインクルードシンタックスのリンクパラメーター内のエンコードされたURLで無効なスパムブラックリスト。
（CVE-2017-0370）

-（T108138）Sysopsはページを元に戻す可能性がありますが、ページは保護されています。（CVE-2017-0369）

以下は1.27以上にのみ影響し、1.23アップグレードには含まれません：

-（T161453）LocalizationCacheは、キャッシュの書き込み先を見つけようとするとき、フォールバックチェーンで一時ディレクトリを使用しなくなりました。（CVE-2017-0367）

以下の修正は、SyntaxHighlight拡張に対するものです：

-（T158689）SyntaxHighlightのパラメーターインジェクションにより、複数の脆弱性があります。（CVE-2017-0372）

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。