S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 30 juillet 2010
No CERTA-2010-AVI-346 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
MediaWiki
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-346 |
| Titre |
Vulnérabilités
dans MediaWiki |
| Date de la première
version |
30 juillet 2010 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité MediaWiki du 28 juillet
2010 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Atteinte à la confidentialité des
données ;
- injection de code indirecte à distance.
- MediaWiki versions antérieures à la 1.15.5
;
- MediaWiki versions antérieures à la
1.16.0.
Deux vulnérabilités dans MediaWiki
permettent à une personne malintentionnée de
porter atteinte à la confidentialité des
données ou d'effectuer une injection de code
indirecte.
Deux vulnérabilités ont été
découvertes dans MediaWiki :
- une erreur dans la gestion du paramètre Cache-Control du fichier api.php permet de porter atteinte à la
confidentialité des données ;
- une vulnérabilité, de type injection de
code indirecte, a été corrigée dans le
fichier profileinfo.php. Celle-ci
n'est exploitable que si le paramètre $wgEnableProfileInfo = True est placé
dans le fichier LocalSettings.php.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 30 juillet 2010
- version initiale.
CERTA
2012-01-04
|
)
