FERRAMENTAS LINUX: Atualização de segurança do Debian para o mediawiki, aviso Debian LTS: DLA-2648-1

quarta-feira, 5 de maio de 2021

Atualização de segurança do Debian para o mediawiki, aviso Debian LTS: DLA-2648-1

 

Confira !!

Várias vulnerabilidades foram descobertas no mediawiki, um mecanismo de site wiki para trabalho colaborativo. CVE-2021-20270


- ------------------------------------------------- ------------------------

Debian LTS Advisory DLA-2648-1                 debian-lts@lists.debian.org

https://www.debian.org/lts/security/ Abhijith PA

05 de maio de 2021 https://wiki.debian.org/LTS

- ------------------------------------------------- ------------------------


Pacote: mediawiki

Versão: 1: 1.27.7-1 ~ deb9u8

CVE ID: CVE-2021-20270 CVE-2021-27291 CVE-2021-30152 

                 CVE-2021-30155 CVE-2021-30158 CVE-2021-30159

Bug Debian: 985574 984664


Várias vulnerabilidades foram descobertas no mediawiki, um wiki 

motor de site para trabalho colaborativo.


CVE-2021-20270


    Um loop infinito em SMLLexer em Pygments usado por mediawiki como 

    um se seus lexers podem levar à negação de serviço ao executar 

    destaque de sintaxe de um arquivo de origem Standard ML (SML), como 

    demonstrado pela entrada que contém apenas a palavra-chave "exceção".


CVE-2021-27291


    pigmentos, os lexers usados ​​por mediawiki dependem fortemente de 

    expressões. Algumas das expressões regulares têm exponencial ou

    complexidade cúbica de pior caso e são vulneráveis ​​a ReDoS. De

    criando uma entrada mal-intencionada, um invasor pode causar uma negação de serviço.


CVE-2021-30152


    Um problema foi descoberto no MediaWiki. Ao usar o MediaWiki

    API para "proteger" uma página, um usuário atualmente é capaz de proteger para um 

    nível mais alto do que eles têm atualmente permissões.


CVE-2021-30155


    Um problema foi descoberto no MediaWiki antes. ContentModelChange

    não verifica se um usuário tem as permissões corretas para criar e definir 

    o modelo de conteúdo de uma página inexistente.


CVE-2021-30158


    Um problema foi descoberto no MediaWiki. Usuários bloqueados não podem

    use Special: ResetTokens. Isso tem relevância de segurança porque um

    usuário bloqueado pode ter compartilhado acidentalmente um token ou pode saber 

    que um token foi comprometido, mas ainda não é capaz de bloquear 

    qualquer uso futuro potencial do token por uma parte não autorizada.


CVE-2021-30159


    Um problema foi descoberto no MediaWiki. Os usuários podem ignorar o pretendido

    restrições à exclusão de páginas em certos "movimentos duplos rápidos" 

    situações. MovePage :: isValidMoveTarget () usa FOR UPDATE, mas

    ele só é chamado se Title :: getArticleID () retornar diferente de zero sem 

    bandeiras especiais. Em seguida, MovePage :: moveToInternal () excluirá o

    página se getArticleID (READ_LATEST) for diferente de zero. Portanto, se o

    a página está faltando na réplica do banco de dados, isValidMove () retornará verdadeiro, 

    e moveToInternal () irá excluir incondicionalmente a página se 

    ele pode ser encontrado no mestre.


Para Debian 9 stretch, esses problemas foram corrigidos na versão

1: 1.27.7-1 ~ deb9u8.


Recomendamos que você atualize seus pacotes mediawiki.


Para o status de segurança detalhado do mediawiki, consulte

sua página de rastreador de segurança em:

https://security-tracker.debian.org/tracker/mediawiki


Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever

essas atualizações para o seu sistema e as perguntas mais frequentes podem ser

encontrado em: https://wiki.debian.org/LTS





Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário