Debian DSA-5246-1：mediawiki - 安全更新

high Nessus 插件 ID 165710

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 11 主机上安装的程序包受到 dsa-5246 公告中提及的多个漏洞影响。

- 在 1.35.6 之前版本、1.36.x 版至 1.36.4 版以及 1.37.x 版至 1.37.2 版的 MediaWiki 中发现一个问题。因为主页消息的本地原生 interwiki 处理不当，具有 editinterface 权限的用户可触发无限递归。(CVE-2022-28201)

- 在 1.35.6 之前版本、1.36.x 版至 1.36.4 版以及 1.37.x 版至 1.37.2 版的 MediaWiki 中发现 XSS 问题。
消息的 widthheight、widthheightpage 和 nbytes 属性未经转义就用于 gallery 或 Special: RevisionDelete 中。(CVE-2022-28202)

- 在 1.35.6 之前版本、1.36.x 版至 1.36.4 版以及 1.37.x 版至 1.37.2 版的 MediaWiki 中发现拒绝服务问题。当存在多个文件时，请求以执行者为条件的 Special:NewFiles 可导致运行时间非常长的查询。(CVE-2022-28203)

- Guzzle 是一个 PHP HTTP 客户端。Guzzle 6.5.6 和 7.4.3 之前版本的 cookie 中间件中存在漏洞。存在此漏洞的原因是，未检查 cookie 域是否等同于通过 Set-Cookie 标头设置 cookie 的服务器域，从而允许恶意服务器为不相关的域设置 cookie。Cookie 中间件默认禁用，因此大多数库使用者不会受到此问题影响。只有手动将 cookie 中间件添加到处理程序堆栈或使用 ['cookies' => true] 构建客户端的使用者会受到影响。此外，不使用同一个 Guzzle 客户端调用多个域并禁用重定向转发的用户不受此漏洞影响。Guzzle 6.5.6 和 7.4.3 版本包含针对此问题的补丁。可以通过关闭 cookie 中间件来解决这个问题。(CVE-2022-29248)

- Guzzle 是一个开源的 PHP HTTP 客户端。在受影响的版本中，请求中的“Cookie”标头是敏感信息。当使用“https”方案向服务器发出请求时，若服务器以重定向到使用“http” 方案的 URI 作为响应，或向服务器发出请求时，服务器以重定向到不同主机的 URI 作为响应，则我们不应转发“Cookie”标头。在此补丁之前，只会安全删除由我们的 cookie 中间件管理的 cookie，并且不会剥离任何手动添加到初始请求的“Cookie”标头。现在，我们会一律将其剥离，并允许 cookie 中间件重新添加它认为应该存在的任何 cookie。受影响的 Guzzle 7 用户应尽快升级到 Guzzle 7.4.4 。使用 Guzzle 较早版本的受影响用户应升级到 Guzzle 6.5.7 或 7.4.4。无法升级的用户可考虑使用您自己的重定向中间件，而不是我们的方法。如果您不要求或不期望遵循重定向，则应一起禁用所有重定向。(CVE-2022-31042)

- Guzzle 是一个开源的 PHP HTTP 客户端。在受影响的版本中，请求中的“`身份验证`”标头是敏感信息。当使用“`https`”方案向服务器发出请求时，若服务器以重定向到使用“`https`” 方案的 URI 作为响应，则我们不应转发“`身份验证`”标头。这与主机变更时不转发标头的方式大致相同。在此补丁之前，“`https`”到“`https`”降级不会导致删除“`身份验证`”标头，只会导致对主机的更改。
受影响的 Guzzle 7 用户应尽快升级到 Guzzle 7.4.4 。使用 Guzzle 较早版本的受影响用户应升级到 Guzzle 6.5.7 或 7.4.4。无法升级的用户可考虑使用自己的重定向中间件。或者，如果不想或不需要重定向，用户可以一起禁用所有重定向。 (CVE-2022-31043)

- Guzzle 是一个可扩展的 PHP HTTP 客户端。请求中的“Authorization”标头是敏感信息。在受影响的版本中，当使用我们的 Curl 处理程序时，可以使用“CURLOPT_HTTPAUTH”选项来指定“Authorization”标头。在提出以重定向至具有不同来源（主机、方案或端口变更）的 URI 作为响应的请求时，如果我们选择跟随，则应在继续之前删除“CURLOPT_HTTPAUTH”选项，从而阻止 curl 向新请求附加“ Authorization”标头。受影响的 Guzzle 7 用户应尽快升级到 Guzzle 7.4.5 。使用 Guzzle 较早版本的受影响用户应升级到 Guzzle 6.5.8 或 7.4.5。请注意，Guzzle 7.4.2 实现了部分补丁，其中主机更改会触发程序删除 curl 添加的 Authorization 标头，但是较早的此补丁未涵盖方案更改或端口更改。如果您不要求或不期望遵循重定向，则应一起禁用所有重定向。
或者，可以指定使用 Guzzle stream 处理程序后端，而不是 curl。(CVE-2022-31090)

- Guzzle 是一个可扩展的 PHP HTTP 客户端。请求中的“Authorization”和“Cookie”标头是敏感信息。在提出以重定向至具有不同端口的 URI 作为响应的请求时，如果我们选择跟随，则应在继续之前删除请求中的“Authorization”和“ Cookie”标头。以前，我们只会考虑更改主机或方案。受影响的 Guzzle 7 用户应尽快升级到 Guzzle 7.4.5 。使用 Guzzle 较早版本的受影响用户应升级到 Guzzle 6.5.8 或 7.4.5。请注意，Guzzle 7.4.2 实现了部分补丁，其中主机更改会触发程序删除 curl 添加的 Authorization 标头，但是较早的此补丁未涵盖方案更改或端口更改。无法升级的用户可考虑使用您自己的重定向中间件，而不是我们的方法。如果您不要求或不期望遵循重定向，则应一起禁用所有重定向。(CVE-2022-31091)

- 在 1.35.7 之前版本、1.36.x 版、1.37.x 版至 1.37.3 版以及 1.38.x 版至 1.38.1 版的 MediaWiki 中发现一个问题。允许用户名中包含 JavaScript 负载的配置中可能会发生 XSS。创建帐户后，将页面标题设置为“欢迎”后跟用户名时，未转义用户名：
SpecialCreateAccount: : successfulAction() calls : : showSuccessPage() with a message as second parameter, and OutputPage: : setPageTitle() uses text()。(CVE-2022-34911)

- 在 1.37.3 之前版本以及 1.38.x 版至 1.38.1 版的 MediaWiki 中发现一个问题。Special: Contributions 上使用的 contributions-title 没有转义就用作页面标题。因此，在用户名包含 HTML 实体的非默认配置中，不会对其进行转义。 (CVE-2022-34912)

- MediaWiki 报告：（T292763。CVE-2021-44854）REST API 错误地公开缓存来自私人 wiki 的自动完成搜索结果。（T271037，CVE-2021-44856）在 AbuseFilter 中阻止的标题可通过 Special: ChangeContentModel 创建。（T297322，CVE-2021-44857）未经授权的用户可使用 action=mcrundo 替换任意页面的内容。（T297322，CVE-2021-44858）未经授权的用户可使用各种操作查看私人 wiki 的内容。（T297574，CVE-2021-45038）未经授权的用户可使用回滚操作访问私人 wiki 内容（T293589，CVE-2021-44855）VisualEditor 媒体对话框中的存储型 XSS 盲注漏洞。(T294686) Special: Nuke 实际上不会删除页面。（CVE-2021-44854、CVE-2021-44855、CVE-2021-44856）

- MediaWiki 报告：（T316304、CVE-2022-41767）安全：reassignEdits 不会更新对于 Special: Contributions 的 IP 范围检查中的结果。（T309894、CVE-2022-41765）安全：HTMLUserTextField 暴露隐藏的用户。（T307278、CVE-2022-41766）安全：在 action=rollback 上，已滚动的消息可能会泄露修订版删除的用户名。（CVE-2022-41765、CVE-2022-41767）

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。