Fedora 20 : mediawiki-1.23.7-1.fc20 (2014-16033)

high Nessus Plugin ID 79908

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

http://www.mediawiki.org/wiki/Release_notes/1.23#MediaWiki_1.23.7

- (錯誤 66776、錯誤 71478) 安全性：使用者 PleaseStand 報告，有一個插入程式碼到 API 用戶端的方法會使用 format=php 來處理遵循 flash 原則混用的頁面。此問題已修正，並且改善了 format=json 使用混用的方法，也允許網站停用使用 $wgMangleFlashPolicy 的混用。

- (錯誤 70901) 安全性：使用者 Jackmcbarn 報告，在某些情況下，更新頁面的內容模型時，可能會讓無權限的攻擊者編輯其他使用者的 common.js 。已新增「editcontentmodel」使用者權限，且規定若要變更修訂內容模型，則必須具備此權限。

- (錯誤 71111) 安全性：使用者 PleaseStand 報告，在允許使用原始 HTML 的 wiki 上，預覽來自未受信任來源 (例如：跨網站要求) 的 wikitext 並不安全。因此在表單中新增一個編輯 token，以便在允許原始 HTML 的情況下，確保使用者已先提供 token，再顯示預覽。同時允許原始 HTML 和匿名編輯的 wiki 則不執行此檢查，因為其有更容易的方式可以讓攻擊者惡意利用該情況。

- (錯誤 72222) 安全性：使用 DELETED_ACTION 對項目執行 revdelete 動作時，不顯示記錄動作。注意：日後發佈的版本可能會將此還原，並擱置有關所需功能的公開 RFC。此問題是由使用者 Bawolff 所報告。

- (錯誤 71621) 將「在限制特殊頁面上允許全網站樣式」做為一個組態選項。

- (錯誤 42723) 已新增從 1.19.2 到 1.22.13 的更新版本歷程記錄

- 已新增 $wgMangleFlashPolicy，讓 MediaWiki 的項目混用可做為 flash 原則指示詞組態進行設定。

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

更新受影響的 mediawiki 套件。

另請參閱

https://www.mediawiki.org/wiki/Release_notes/1.23#MediaWiki_1.23.7

http://www.nessus.org/u?af2b82e2

Plugin 詳細資訊

嚴重性: High

ID: 79908

檔案名稱: fedora_2014-16033.nasl

版本: 1.5

類型: local

代理程式: unix

系列: Fedora Local Security Checks

已發布: 2014/12/15

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

弱點資訊

CPE: p-cpe:/a:fedoraproject:fedora:mediawiki, cpe:/o:fedoraproject:fedora:20

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

修補程式發佈日期: 2014/12/1

參考資訊

FEDORA: 2014-16033