[MediaWiki-annous]MediaWiki安全版本：1.16.0和1.15.5

斯塔林 tstarling在wikimedia.org
2010年7月28日星期三07:53:24 UTC
邮件排序依据： [日期] [线程] [主题] [作者]
-----开始PGP签名消息-----哈希：SHA1这是MediaWiki 1.16.0的安全和错误修复版本MediaWiki 1.15.5。此电子邮件末尾提供了下载链接。发现数据泄漏漏洞，影响MediaWiki 1.8以及稍后。API上的公共缓存标头设置不正确包含私有数据的响应。通过CSRF式攻击，这可能导致各种类型的私有数据的泄露存储在wiki上。建议所有用户升级。完整的详细信息可以可在以下位置找到：https://bugzilla.wikimedia.org/show_bug.cgi？id=24565在中发现了跨站点脚本（XSS）漏洞profileinfo.php。该漏洞仅在脚本在LocalSettings.php中显式启用，$wgEnableProfileInfo=true。在中发现了register_globals任意包含漏洞1.16测试版系列，位于MediaWikiParserTest.php中。这个该漏洞不会影响任何稳定的MediaWiki版本。它只是影响启用了PHP register_globals功能的Wiki，尽管我们强烈建议相反。Apache安装启用AllowOverride可能会受到保护，免受此漏洞的攻击，因为在相关路径中有一个带有“Deny from all”的.htaccess文件。在这两个版本中，界面文本都更新了新的翻译来自translatewiki.net。1.15.5的完整发行说明：<http://svn.wikimedia.org/svnroot/mediaviki/tags/REL1_15_5/phase3/RELEASE-NOTES>1.16.0的完整发行说明：<http://svn.wikimedia.org/svnroot/mediaviki/tags/REL1_16_0/phase3/RELEASE-NOTES>升级常见问题解答：http://www.mediawiki.org/wiki/Manual:常见问题#升级**********************************************************************我们很自豪地宣布1.16系列的第一个稳定版本。自MediaWiki 1.15以来可能感兴趣的选定更改包括：*监视列表现在有RSS/Atom提要。RSS提要现在通常是隐藏，因为Atom是一个更好的协议，并且受虚拟所有客户端。*现在可以阻止用户通过以下方式发送电子邮件特殊：Emailuser。*检修了维护脚本系统。大多数维护当您使用--help运行脚本时，脚本现在有一个有用的帮助页面。*运行维护不再需要AdminSettings.php脚本。您只需在中设置$wgDBadminuser和$wgDBadminpassword您的LocalSettings.php。*优惠制度进行了彻底改革。首选项存储在更紧凑的格式。对站点默认首选项的更改将自动影响所有未选择不同首选项的用户。*对SQLite的支持得到了改进。修复了一些损坏的功能，现在它可以进行高效的全文搜索。*通过允许权限撤销，而不是仅仅授予。*引入了一个新的本地化缓存系统，这将使MediaWiki对几乎所有人来说都更快，尤其是在已启用扩展。默认情况下，这个新系统会进行大量数据库查询。如果您的数据库速度特别慢，或者如果系统管理员限制您的查询计数，或者如果您想挤压尽可能多的性能在Mediawiki之外，将$wgCacheDirectory设置为上的可写路径本地文件系统。确保您有PHP的DBA扩展安装后，这将进一步提高性能。**********************************************************************1.15.5**********************************************************************下载：http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.tar.gz修补到早期版本（1.15.4），无界面文本：http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.patch.gz界面文本更改：http://download.wikimedia.org/mediawiki/1.15/mediawiki-i18n-1.15.5补丁.gzGPG签名：http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.tar.gz.sig
http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.patch.gz.sig
http://download.wikimedia.org/mediawiki/1.15/mediawiki-i18n-1.15.5补丁.gz.sig公钥：https://secure.wikimedia.org/keys.html**********************************************************************1.16.0**********************************************************************下载：http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0.tar.gz修补到早期版本（1.16.0beta3），无界面文本：http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0.patch.gz界面文本更改：http://download.wikimedia.org/mediawiki/1.16/mediawiki-i18n-1.16.0.patch.gzGPG签名：http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0.tar.gz.sig
http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0.patch.gz.sig
http://download.wikimedia.org/mediawiki/1.16/mediawiki-i18n-1.16.0.patch.gz.sig公钥：https://secure.wikimedia.org/keys.html-----开始PGP签名-----版本：GnuPG v1.4.10（GNU/Linux）注释：在Mozilla中使用GnuPG-http://enigmail.mozdev.org/iEYEARECAAYFAkxP4e8ACgkQgkA+Wfn4zXkWIgCgmr9dHmPtQqk+2bdQaHkLGss37W8AoJqgkJsurVVzWFBkr3GrswsWzcd公司=L7ad-----结束PGP签名-----
邮件排序依据： [日期] [线程] [主题] [作者]
有关MediaWiki公告的更多信息邮件列表