[MediaWiki-annous]MediaWiki安全版本1.16.1

斯塔林 tstarling在wikimedia.org
2011年1月4日星期二06:55:48 UTC

下一条消息：[MediaWiki-annous]MediaWiki和PHP 5.3.5/5.2.17
邮件排序依据： [日期] [线程] [主题] [作者]

-----开始PGP签名消息-----哈希：SHA1我想宣布MediaWiki 1.16.1的发布，它是一个安全和维护版本。维基百科用户PleaseStand指出，MediaWiki没有防止“点击劫持”。使用用户或站点JavaScript或CSS启用后，点击劫持可能导致跨站点脚本（XSS），因此恶意访问的任何用户的wiki帐户完全泄露外部站点。点击劫持会影响MediaWiki的所有早期版本。我们的修复包括拒绝在除正常页面视图之外的所有页面上使用框架和一些选定的特殊页面。为了得到保护，所有用户都需要使用支持X-Frame-Options的浏览器。有关的信息支持的浏览器，请参阅：<https://developer.mozilla.org/en/the_x-frame-options_response_header>有关此漏洞和相关修补程序的更多信息，请参阅：<https://bugzilla.wikimedia.org/show_bug.cgi？id=26561>MediaWiki 1.16.1中的其他更改：*（错误24981）允许扩展再次访问SpecialUpload变量*（bug 24724）列表=诱惑者被淘汰1（显示总用户数-1）*（错误24166）修复了使用rvprop=tags时的API错误*对于使用法语作为内容语言的维基，特别：Téléchargement再次用作Special:Upload的别名。*（错误25167）正确加载IE6的JS修复程序（修复中的回归1.16.0)*（错误25248）修复了某些API模块中的paraminfo错误。*安装程序现在改进了以下情况的处理safe_mode处于活动状态或exec（），并且禁用了类似的函数。*（错误19593）指定--中的服务器现在可用于所有维护脚本。*修复了$wgLicenseTerms注册全局变量的问题。完整发行说明：http://svn.wikimedia.org/svnroot/mediaviki/tags/REL1_16_1/phase3/RELEASE-NOTES**********************************************************************下载：http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.tar.gz修补到早期版本（1.16.0），无界面文本：http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.1.patch.gz界面文本更改：http://download.wikimedia.org/mediawiki/1.16/mediawiki-i18n-1.16.1.patch.gzGPG签名：http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.1.tar.gz.sig
http://download.wikimedia.org/mediawiki/1.16/mediawiki-1.16.patch.gz.sig
http://download.wikimedia.org/mediawiki/1.16/mediawiki-i18n-1.16.1.patch.gz.sig公钥：https://secure.wikimedia.org/keys.html-----开始PGP签名-----版本：GnuPG v1.4.10（GNU/Linux）注释：在Mozilla中使用GnuPG-网址：http://enigmail.mozdev.org/iEYEARECAAYFAk0ixHAACgkQgkA+Wfn4zXmOcgCePqvDrlaw1FZLbtOfx/3tEIIDGQkAn3eSSdTbBCOqXLvXNiG4Vm0kXl7r公司=haR1-----结束PGP签名-----

下一条消息：[MediaWiki-annous]MediaWiki和PHP 5.3.5/5.2.17
邮件排序依据： [日期] [线程] [主题] [作者]

有关MediaWiki公告的更多信息邮件列表