فا

‫ به روز رساني Gentoo براي mediawiki

شماره: IRCAD2015023754
تاريخ انتشار:2015-02-10
ميزان حساسيت: بسيار مهم
نرم افزارهاي تحت تاثير: 
Gentoo Linux
توضيح:
Gentoo يك به روز رساني براي mediawiki منتشر كرده است.اين به روز رساني دو ضعف، چندين مساله امنيتي و تعدادي آسيب پذيري را برطرف مي كند كه مي تواند براي اهداف خرابكارانه مورد سوء استفاده قرار بگيرد تا كاربران خرابكار به طور بالقوه اطلاعت حساس را افشاء نمايند، داده هاي خاص را دستكاري نمايند، حملات تزريق اسكريپت را هدايت نمايند، محدوديت هاي امنيتي خاص را دور زنند و مي تواند توسط افراد خرابكار مورد سوء استفاده قرار بگيرد تا به طور بالقوه اطلاعت حساس را افشاء نمايند، حملات اسكريپت بين سايتي را هدايت نمايند، محدوديت هاي امنيتي خاص را دور زنند و كنترل يك سيستم آسيب پذير را در اختيار بگيرند.
1) ورودي عبور داده شده از طريق پارامترهاي "name" و "url" به Listings.body.php قبل از برگرداندن به كاربر به خوبي مورد بررسي قرار نمي گيرند. اين مساله مي تواند براي اجراي كد اسكريپت و HTML دلخواه در نشست مرورگر كاربر با يك سايت آلوده مورد سوء استفاه قرار بگيرد.
سوء استفاده موفقيت آميز از اين آسيب پذيري مستلزم فعال بودن "Listings" مي باشد.
2) ورودي عبور داده شده از طريق پارامترهاي "title"  و "extract"  به resources/ext.popups.renderer.article.js قبل از برگرداندن به كاربر به خوبي مورد بررسي قرار نمي گيرند. اين مساله مي تواند براي اجراي كد اسكريپت و HTML دلخواه در نشست مرورگر كاربر با يك سايت آلوده مورد سوء استفاه قرار بگيرد.
سوء استفاده موفقيت آميز از اين آسيب پذيري مستلزم فعال بودن "Hovercards"  مي باشد.
 
راهكار:
به نسخه "www-apps/mediawiki-1.19.23" يا نسخه هاي پس از آن، نسخه "www-apps/mediawiki-1.22.15" و نسخه هاي پس از آن يا نسخه "www-apps/mediawiki-1.23.8" و نسخه هاي پس از آن به روز رساني نماييد.
منابع:
GLSA 201502-04:
MediaWiki:
Secunia:
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 29 بهمن 1393

امتیاز

امتیاز شما
تعداد امتیازها:0