FreeBSD:mediawiki -- 多种漏洞 (f36bbd66-aa44-11e5-8f5c-002590263bf5)
critical Nessus 插件 ID 87616
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
MediaWiki 报告:(T117899) 安全:$wgArticlePath 再也不能设置为不以斜线开头的相对路径。这将导致不严重的 XSS 攻击。“http://my.wiki.com/wiki/$1”之类的配置值没问题,“/wiki/$1”也是如此。“$1”或“wiki/$1”之类的值则有问题,现在会触发错误。
(T119309) 安全:将 hash_compare() 用于比较编辑标记。
(T118032) 安全:不允许 cURL 将以“@”开头的 POST 参数解释为文件上传。
(T115522) 安全:User::randomPassword() 生成的密码再也不能比 $wgMinimalPasswordLength 短。
(T97897) 安全:改进 IP 解析和裁剪。以前的行为可能导致发出不正确的块。
(T109724) 安全:Special:MyPage、Special:MyTalk、Special:MyContributions 和相关页面不再使用 HTTP 重定向,现在由 MediaWiki 重定向。
解决方案
更新受影响的数据包。另见
http://www.nessus.org/u?dddb0671
https://phabricator.wikimedia.org/T117899
https://phabricator.wikimedia.org/T119309
https://phabricator.wikimedia.org/T118032
https://phabricator.wikimedia.org/T115522
https://phabricator.wikimedia.org/T97897
https://phabricator.wikimedia.org/T109724
插件详情
严重性: Critical
ID: 87616
文件名: freebsd_pkg_f36bbd66aa4411e58f5c002590263bf5.nasl
版本: 2.7
类型: local
发布时间: 2015/12/29
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS v3
风险因素: Critical
基本分数: 9.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:mediawiki123, p-cpe:/a:freebsd:freebsd:mediawiki124, p-cpe:/a:freebsd:freebsd:mediawiki125, p-cpe:/a:freebsd:freebsd:mediawiki126, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2015/12/24
漏洞发布日期: 2015/12/18
参考资料信息
CVE: CVE-2015-8622, CVE-2015-8623, CVE-2015-8624, CVE-2015-8625, CVE-2015-8626, CVE-2015-8627, CVE-2015-8628