〔MediaWiki公告〕MediaWiki安全更新：1.15.4和1.16.0测试版3

斯塔林 tstarling在wikimedia.org
2010年5月28日星期五07:40:46 UTC
邮件排序依据： [日期] [线程] [主题] [作者]
-----开始PGP签名消息-----哈希：SHA1这是MediaWiki 1.15.4和MediaWiki 1.16 beta 3。发现了两个安全漏洞。Kuriaki Takashi在MediaWiki中发现了XSS漏洞。它仅影响Internet Explorer客户端。该问题被推定为影响所有最新版本的IE，已在IE 6和8上确认。Internet Explorer中的不符合CSS分析行为允许攻击者构造被视为安全的CSS字符串MediaWiki的早期版本，但被解码为不安全的字符串Internet Explorer。有关详细信息，请访问：https://bugzilla.wikimedia.org/show_bug.cgi？id=23687在我们的登录界面中发现了CSRF漏洞。尽管从1.15.3开始，常规登录受到保护，发现帐户创建和密码重置功能不受保护CSRF。这可能导致未经授权访问私人维基。请参见https://bugzilla.wikimedia.org/show_bug.cgi？id=23371了解详细信息。这些漏洞很严重，建议所有用户升级。请记住，甚至可以使用CSRF和XSS漏洞针对防火墙保护的intranet安装，只要攻击者可以猜测URL。除了安全修复之外，MediaWiki 1.16 beta 3还包含对1.16beta2进行了许多有用的错误修复。我们希望能够在未来一两周内稳定发布1.16分支。这两个版本都包含由translatewiki.net提供的本地化更新。完整发行说明：http://svn.wikimedia.org/svnroot/mediaviki/tags/REL1_15_4/phase3/RELEASE-NOTES
http://svn.wikimedia.org/svnroot/mediaviki/tags/REL1_16_0beta3/phase3/RELEASE-NOTES**********************************************************************1.15.4**********************************************************************下载：http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.4.tar.gz先前版本（1.15.3）的补丁，无界面文本：http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.4.patch.gz界面文本更改：http://download.wikimedia.org/mediawiki/1.15/mediawiki-i18n-1.15.4.patch.gzGPG签名：http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.4.tar.gz.sig
http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.4.patch.gz.sig
http://download.wikimedia.org/mediawiki/1.15/mediawiki-i18n-1.15.4.patch.gz.sig公钥：https://secure.wikimedia.org/keys.html**********************************************************************1.16β3**********************************************************************下载：http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0beta3.tar.gz修补到早期版本（1.16.0beta2），无界面文本：http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0beta3.patch.gz界面文本更改：http://download.wikimedia.org/mediawiki/1.16/mediawiki-i18n-1.16.0beta3.patch.gzGPG签名：http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0beta3.tar.gz.sig
http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.0beta3.patch.gz.sig
http://download.wikimedia.org/mediawiki/1.16/mediawiki-i18n-1.16.0beta3.patch.gz.sig公钥：https://secure.wikimedia.org/keys.html-----开始PGP签名-----版本：GnuPG v1.4.10（GNU/Linux）注释：在Mozilla中使用GnuPG-网址：http://enigmail.mozdev.org/iEYEARECAAYFAkv/c34ACgkQgkA+Wfn4zXnCTgCfb7CnMBkZZpcffdUauy8i4LAV公司KN4Anj41b/jPfzqZwNfmMIH1/8NMaG9/=k2UI-----结束PGP签名-----
邮件排序依据： [日期] [线程] [主题] [作者]
有关MediaWiki公告的更多信息邮件列表