De Hispasec – Una al Día: Nuevas versiones de MediaWiki corrigen diversas vulnerabilidades (28/08/2016)

Nuevas versiones de MediaWiki corrigen diversas vulnerabilidades

domingo, 28 de agosto de 2016

Se han publicado nuevas versiones de MediaWiki para las ramas 1.27, 1.26 y 1.23 que corrigen diferentes fallos de seguridad, que podrían permitir a un atacante realizar ataques de cross-site scripting y eludir restricciones de seguridad.

Mediawiki-LogoMediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia.

Un problema corregido reside en cross-site scriptings por la codificación del carácter “%” dentro de enlaces internos y en la previsualización de CSS. Otro problema por un error en la API relacionado con la generación de elementos de las cabeceras. Usuarios con permisos de recuperación pueden borrar el estado de una revisión de archivo (incluso si el archivo está eliminado), cuando realmente no tienen permisos para ello. Las cuentas eliminadas no cerraban adecuadamente la sesión, de forma que un usuario autenticado podía seguir accediendo aun  con una cuenta ya cerrada o inexistente. Por último la API podía emplearse para eludir  completamente la extensión Lockdown.

Las nuevas versiones 1.27.1, 1.26.4 y 1.23.15 solucionan estas vulnerabilidades. Pueden descargarse desde:

https://www.mediawiki.org/wiki/Download

Más información:

MediaWiki Release notes 1.27

https://www.mediawiki.org/wiki/Release_notes/1.27

MediaWiki Release notes 1.26

https://www.mediawiki.org/wiki/Release_notes/1.26

MediaWiki Release notes 1.23

https://www.mediawiki.org/wiki/Release_notes/1.23

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Brechas de Seguridad, MediaWiki, Seguridad. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *