1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Flere sårbarheder blev opdaget i MediaWiki, en wikimotor. Projektet Common
Vulnerabilities and Exposures har registreret følgende problemer:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2031">CVE-2013-2031</a>
<p>Et angreb i forbindelse med udførelse af skripter på tværs af websteder
ved hjælp af gyldige indkapslede UTF-7-sekvenser i en SVG-fil.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4567">CVE-2013-4567</a>
& <a href="https://security-tracker.debian.org/tracker/CVE-2013-4568">CVE-2013-4568</a>
<p>Kevin Israel (Wikipedia-brugeren PleaseStand) rapporterede to måder, at
indsprøjte JavaScript på, på grund af en ufuldstændig sortliste i funktionen
til fornuftighedskontrol af CSS.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4572">CVE-2013-4572</a>
<p>MediaWiki og udvidelsen CentralNotice opsatte ukorrekt cacheheadere, når
en bruger blev automatisk oprettet, hvilket medførte at brugerens
sessioncookie blev cachet, og returneret til andre brugere.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6452">CVE-2013-6452</a>
<p>Chris fra RationalWiki rapporterede at SVG-filer kunne uploades
indeholdende eksterne stylesheets, hvilket kunne føre til XSS, når et XSL
indeholdt JavaScript.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6453">CVE-2013-6453</a>
<p>MediaWikis SVG-fornuftighedskontrol kunne omgås, når XML'et blev anset
for at være ugyldigt.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6454">CVE-2013-6454</a>
<p>MediaWikis CSS-fornuftighedskontrol bortfiltrerede ikke
-o-link-attributter, hvilket kunne anvendes til at udføre JavaScript i Opera
12.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6472">CVE-2013-6472</a>
<p>MediaWiki viste nogle oplysninger om slettede sider i log-API'et,
udvidede seneste ændringer og brugerovervågningslister.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1610">CVE-2014-1610</a>
<p>En sårbarhed i forbindelse med fjernudførelse af kode, fandtes hvis
filupload understøttende DjVu (håndteret internt) eller PDF-filer
(kombineret med PdfHandler-udvidelsen) var aktiveret. Ingen af filtyperne
er som standard aktiveret i MediaWiki.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2665">CVE-2014-2665</a>
<p>Forespørgselsforfalskning på tværs af websteder var muligt på
loginformularen: en angriber kunne logge et offer på som angriberen.</p></li>
</ul>
<p>I den stabile distribution (wheezy), er disse problemer rettet i version
1:1.19.14+dfsg-0+deb7u1 af pakken mediawiki og i 3.5~deb7u1 af pakken
mediawiki-extensions.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i version
1:1.19.14+dfsg-1 af pakken mediawiki og i 3.5 af pakken
mediawiki-extensions.</p>
<p>Vi anbefaler at du opgraderer dine mediawiki-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2891.data"
|