Debian DSA-2366-1：mediawiki - 多种漏洞

medium Nessus 插件 ID 57506

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在用于协同工作的网站引擎 MediaWiki 中已发现多个问题。

- CVE-2011-1578 CVE-2011-1587 Masato Kinugawa 发现一个跨站脚本 (XSS) 问题，该问题仅影响 Internet Explorer 客户端且仅影响版本 6 及较早版本。修复此问题需要更改 Web 服务器配置。对于使用启用了 AllowOverride 的 Apache 的人员，仅升级 MediaWiki 足矣。

有关所需配置更改的详细信息，请参阅上游公告。

- CVE-2011-1579 Wikipedia 用户 Suffusion of Yellow 发现 wikitext 解析器中的一个 CSS 验证错误。这是 Internet Explorer 客户端的 XSS 问题以及其他客户端的隐私泄漏问题，因为它允许嵌入任意远程图像。

- CVE-2011-1580 MediaWiki 开发人员 Happy-Melon 发现 transwiki 导入功能忽略了在表单提交时执行访问控制检查。transwiki 导入功能默认情况下被禁用。如果该功能已启用，它允许从 $wgImportSources 中列出的远程 wiki 复制 wiki 页面。该问题意味着任何用户均可触发这类导入。

- CVE-2011-4360 Alexandre Emsenhuber 发现一个问题，绕过 index.php 的不同页面 id 可能会暴露私有 wiki 中的页面标题。如果用户没有正确的权限，他们现在将被重定向到 Special:BadTitle。

- CVE-2011-4361 Tim Starling 发现，action=ajax 请求被调度到相关函数而未进行任何读取权限检查。这可导致私有 wiki 上的数据泄漏。