S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 28 avril 2011
No CERTA-2011-AVI-261 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans MediaWiki
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-261 |
| Titre |
Multiples
vulnérabilités dans MediaWiki |
| Date de la première
version |
28 avril 2011 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de mise à jour
MediaWiki versions 1.16.3 du 12 avril 2011 |
| |
Bulletin de mise à jour
MediaWiki 1.16.4 du 14 avril 2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- injection de code indirecte à distance.
MediaWiki versions antérieures à 1.16.4.
Plusieurs vulnérabilités ont été
corrigés avec la version 1.16.3 de MediaWiki. Deux
d'entre-elles permettent de réaliser de l'injection de
code indirecte à distance.
Trois vulnérabilités ont été
corrigées :
- certains paramètres passés dans l'ajout de
commentaires ne sont pas correctement validés,
permettant à un attaquant de réaliser de
l'injection de code indirecte (CVE-2011-1579) ;
- une fonction d'import ne vérifie pas correctement
les permissions, autorisant une personne malveillante
d'importer indument des ressources (CVE-2011-1580) ;
- il est possible de tromper certains navigateurs, comme
Internet Explorer 6, et de leur faire interpréter
certains fichiers comme du HTML, permettant à une
personne malveillante de réaliser de l'injection de
code indirecte (CVE-2011-1578).
Cette dernière vulnérabilité n'ayant
pas été totalement corrigée avec la
version 1.16.3 de MediaWiki, un nouveau correctif est
disponible avec la version 1.16.4.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 28 avril 2011
- version initiale.
CERTA
2012-01-04
|
)
