Debian DSA-5246-1：mediawiki - 安全性更新

high Nessus Plugin ID 165710

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機上安裝的套件受 dsa-5246 公告中提及的多個弱點影響。

- 在 1.35.6 之前版本、 1.36.x 版至 1.36.4 版以及 1.37.x 版至 1.37.2 版的 MediaWiki 中發現一個問題。具有 editinterface 權限的使用者可觸發無限遞回，這是因為主頁面訊息的 bare local interwiki 處理不當。(CVE-2022-28201)

- 在 1.35.6 之前版本、1.36.x 版至 1.36.4 版以及 1.37.x 版至 1.37.2 版的 MediaWiki 中發現 XSS 問題。
訊息的 widthheight、widthheightpage 和 nbytes 屬性在 gallery 或 Special: RevisionDelete 中使用時未被逸出。(CVE-2022-28202)

- 在 1.35.6 之前版本、1.36.x 版至 1.36.4 版以及 1.37.x 版至 1.37.2 版的 MediaWiki 中發現拒絕服務問題。當存在許多檔案時，要求以執行者為條件的 Special:NewFiles 可導致執行很長時間的查詢。(CVE-2022-28203)

- Guzzle 是一個 PHP HTTP 用戶端。Guzzle 6.5.6 和 7.4.3 之前版本中有一個 cookie 中介軟體弱點。這個弱點出現的原因是，未檢查 cookie 網域是否與透過 Set-Cookie 標頭設定 cookie 的伺服器網域相同，進而允許惡意伺服器為不相關的網域設定 cookie 所致。Cookie 中介軟體預設為停用，因此大多數程式庫使用者不會受到此問題影響。只有手動將 cookie 中介軟體新增至處置程式堆疊或使用 ['cookies' => true] 建構用戶端的使用者會受到影響。此外，不使用相同 Guzzle 用戶端呼叫多個網域且已停用重新導向轉送的使用者則不受此弱點影響。Guzzle 6.5.6 和 7.4.3 版本包含針對此問題的修補程式。可以採取的因應措施是，關閉 Cookie 中介軟體。(CVE-2022-29248)

- Guzzle 是一個開放原始碼的 PHP HTTP 用戶端。在受影響的版本中，要求的「Cookie」標頭是敏感資訊。當使用「https」配置向伺服器提出要求時，若伺服器以重新導向至包含「http」配置的 URI 作爲回應，或在向伺服器提出要求時，若伺服器以重新導向至其他主機的 URI 作爲回應，則我們不應轉送「Cookie」標頭。在此修正之前，系統只會安全移除由我們的 cookie 中介軟體管理的 cookie，而不會去除手動新增至初始要求的任何「Cookie」標頭。我們現在一律將其去除，並允許 cookie 中介軟體重新新增它認為應該存在的任何 cookie。受影響的 Guzzle 7 使用者應盡快升級至 Guzzle 7.4.4 。使用任何舊版 Guzzle 的受影響使用者應升級至 Guzzle 6.5.7 或 7.4.4。無法升級的使用者可考慮使用您自己的重新導向中介軟體，而非我們的方法。如果您不要求或期望遵循重新導向，則應該一起停用所有重新導向。(CVE-2022-31042)

- Guzzle 是一個開放原始碼的 PHP HTTP 用戶端。在受影響的版本中，要求的「Authorization」標頭是敏感資訊。當使用「https」配置向伺服器提出要求時，若伺服器以重新導向至包含「http」配置的 URI 作爲回應，則我們不應轉送「Authorization」標頭。這與我們在主機變更時不轉送標頭的方式大致相同。在此修正之前，「https」降級為「http」不會導致「Authorization」標頭遭移除，只會導致主機發生變更。
受影響的 Guzzle 7 使用者應盡快升級至 Guzzle 7.4.4 。使用任何舊版 Guzzle 的受影響使用者應升級至 Guzzle 6.5.7 或 7.4.4。無法升級的使用者可考慮使用自己的重新導向中介軟體，或者如果不打算使用或不需要重新導向，使用者可以一起停用所有重新導向。(CVE-2022-31043)

- Guzzle 是一個可延伸的 PHP HTTP 用戶端。要求上的「Authorization」標頭是敏感資訊。在受影響的版本中，當使用我們的 Curl 處理常式時，可以使用「CURLOPT_HTTPAUTH」選項來指定「Authorization」標頭。在提出以重新導向至具有不同來源 (主機、配置或連接埠變更) 的 URI 作爲回應的要求時，如果我們選擇遵循，則應該在繼續之前移除「CURLOPT_HTTPAUTH」選項，阻止 curl 向新要求附加「Authorization」標頭。受影響的 Guzzle 7 使用者應盡快升級至 Guzzle 7.4.5 。使用任何舊版 Guzzle 的受影響使用者應升級至 Guzzle 6.5.8 或 7.4.5。請注意，目前已在 Guzzle 7.4.2 中實作部分修正，其中主機變更會觸發系統移除 curl 新增的 Authorization 標頭，但是早期的這一修正並未涵蓋配置變更或連接埠變更。如果您不要求或期望遵循重新導向，則應該一起停用所有重新導向。
或者，您可以指定使用 Guzzle Steam 處理常式後端，而不是 curl。(CVE-2022-31090)

- Guzzle 是一個可延伸的 PHP HTTP 用戶端。要求上的「Cookie」標頭是敏感資訊。在受影響版本中，當提出以重新導向至具有不同連接埠的 URI 作爲回應的要求時，如果我們選擇遵循，則應該在繼續之前移除要求中的「Authorization」和「Cookie」標頭。之前，我們只會考慮主機或配置的變更。受影響的 Guzzle 7 使用者應盡快升級至 Guzzle 7.4.5 。使用任何舊版 Guzzle 的受影響使用者應升級至 Guzzle 6.5.8 或 7.4.5。請注意，目前已在 Guzzle 7.4.2 中實作部分修正，其中主機變更會觸發系統移除 curl 新增的 Authorization 標頭，但是早期的這一修正並未涵蓋配置變更或連接埠變更。無法升級的使用者可使用您自己的重新導向中介軟體，而非我們的方法。如果您不要求或期望遵循重新導向，則應該一起停用所有重新導向。(CVE-2022-31091)

- 在 1.35.7 之前版本、1.36.x 版、1.37.x 至 1.37.3 版以及 1.38.x 至 1.38.1 版的 MediaWiki 中發現一個問題。在允許使用者名稱中有 JavaScript 承載的組態中可能發生 XSS。建立帳戶後，將頁面標題設定為「歡迎後接使用者名稱」時，使用者名稱不會逸出：
SpecialCreateAccount: : successfulAction() calls : : showSuccessPage() with a message as second parameter, and OutputPage: : setPageTitle() uses text()。(CVE-2022-34911)

- 在 1.37.3 之前版本以及 1.38.x 至 1.38.1 版的 MediaWiki 中發現一個問題。Special: Contributions 上使用的 contributions-title 未經逸出就用作頁面標題。因此，在使用者名稱包含 HTML 實體的非預設組態中，不會將其逸出。(CVE-2022-34912)

- Mediawiki 報告： (T292763、CVE-2021-44854) REST API 錯誤地從私人 wiki 公開快取自動完成搜尋結果。(T271037、CVE-2021-44856) AbuseFilter 中封鎖的標題可透過 Special: ChangeContentModel 建立。(T297322、CVE-2021-44857) 未經授權的使用者可使用 action=mcrundo 取代任意頁面的內容。(T297322、CVE-2021-44858) 未經授權的使用者可使用多種動作檢視私人 wiki 的內容。(T297574、CVE-2021-45038) 未經授權的使用者可使用復原動作存取私人 wiki 內容。(T293589、CVE-2021-44855) VisualEditor 媒體對話方塊中的儲存式 XSS 盲注弱點。(T294686) Special: Nuke 實際上並未刪除頁面。(CVE-2021-44854、CVE-2021-44855、CVE-2021-44856)

- Mediawiki 報告： (T316304、CVE-2022-41767) 安全性：reassignEdits 不會更新對於 Special: Contributions 的 IP 範圍檢查中的結果。(T309894、CVE-2022-41765) 安全性：HTMLUserTextField 揭露存在隱藏的使用者。(T307278、CVE-2022-41766) 安全性：在 action=rollback 上，已滾動的訊息可洩漏修訂版已刪除的使用者名稱。(CVE-2022-41765、CVE-2022-41767)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。