Fedora 15：mediawiki-1.16.5-59.fc15 (2011-6781)

medium Nessus 插件 ID 54572

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

已发行 MediaWiki 1.16.5 以修正两个安全缺陷：

第一个问题是导致发行 1.16.4 的 Internet Explorer 6 XSS 漏洞的再次发生。有人指出存在具有多于四个字符的危险扩展，因此必须更新我们引入的正则表达式，以匹配更长的扩展。(CVE-2011-1765)

第二个问题允许未经认证的用户在已启用 $wgBlockDisablesLogin 的 Wiki 上获得额外权限。默认情况下，它被禁用。当恶意用户发送包含“受害者”帐户的用户名和用户 ID 的 Cookie 时，会发生该问题。在某些情况下，会在恶意请求中加载受害者权限并且该权限持续存在，从而允许恶意用户使用受害者的权限执行操作。(CVE-2011-1766)

$wgBlockDisablesLogin 是一项功能，有时候在私有 Wiki 上使用该功能来防止拥有帐户的用户登录 Wiki 和查看 Wiki 上的内容。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。