lists.wikimedia.org网站
登录
注册
登录
注册
管理此列表
×
键盘快捷键
线程视图
j个
:下一条未读消息
k个
:上一条未读消息
日本
:跳转到所有线程
j l日
:跳转到MailingList概述
2024
四月
三月
二月
一月
2023
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2022
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2021
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2020
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2019
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2018
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2017
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2016
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2015
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2014
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2013
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2012
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2011
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2010
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2009
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2008
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2007
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2006
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2005
十二月
十一月
十月
九月
八月
七月
六月
五月
四月
三月
二月
一月
2004
十二月
列表概述
下载
线
[MediaWiki-annous]安全版本:1.29.2/1.28.3/1.27.4
萨姆·里德
11月15日
2017
11月15日
'17
上午1:38。
我想宣布MediaWiki 1.29.2、1.28.3和1.27.4的发布!
这些版本修复了核心中的九个安全问题和中的一个相关问题
供应商
文件夹。
此电子邮件末尾提供了下载链接。
发送此电子邮件后,修补程序将被推送到gerrit,并将登陆
到相关的
在我们的CI基础设施允许的情况下快速分支。
Git标签即将推出
之后。
所有相关
在接下来的几个小时内,任务也将在phabricator中公开。
请注意,本月是MediaWiki 1.28的终止日期。
这个
意味着MediaWiki 1.28.3将是最后一个安全版本
版本,除非有任何不可预见的问题。
我们将大力鼓励用户使用
MediaWiki 1.28升级至2017年7月发布的MediaWiki1.29,或
尽快更新版本。
MediaWiki 1.29将一直支持到
七月
2018年。参见<
https://www.mediawiki.org/wiki/Version_lifecycle
>了解更多
信息。
此版本还用作这些分支的维护版本。
==安全修复==
*(T128209)从api.php下载反射文件。
阿卜杜拉报道
胡萨姆。
(CVE-2017-8809)
*(T165846)BotPasswords不会限制登录尝试。
*(T134100)在私人维基上,登录表单不应区分
登录失败
由于用户名和密码错误。
(CVE-2017-8810)
*(T178451)当$wgShowExceptionDetails=false且浏览器发送
非标准url转义。
(CVE-2017-8808)
*(T176247)可以通过原始消息参数破坏HTML
扩展。
(CVE-2017-8811)
*标题上的(T125163)id属性允许原始>。
(CVE-2017-8812)
*(T124404)语言转换器可以用来替换内部文本
标记依据
在规则定义之后添加了大量垃圾。
(CVE-2017-8814)
*(T119158)语言转换器:通过词汇表进行不安全的属性注入
规则(CVE-2017-8815)
以下仅影响1.29:
*(T180488)(T125177)“api.log包含明文密码”不是
全部正确固定
分支。
(CVE-2017-0361)
以下仅影响1.27和1.28:
*(T180231)composer.json具有已知的PHPUnit的require-dev版本
安全
问题。
汤姆·哈奇森报道。
(CVE-2017-9841)
建议升级到MW后运行“composer update--no-dev”
1.27.4或
1.28.3如果您通过git安装MediaWiki。
如果你正在使用tarball,
您不会受到影响,
您不需要运行此命令。
这将删除开发人员
依赖性
生产wiki不需要。
如果需要依赖开发人员,请运行
`composer update`将更新到一个未知的PHPUnit版本
RCE。
如果由于任何原因无法运行“composer update”,建议
您删除了
您至少可以使用以下命令来冒犯文件:
`rm-rf供应商/phpunit/phpunit/src/Util/PHP/eval-stdin.PHP`
==指向所有提及任务的链接==
https://phaulibor.wikimedia.org/T128209
https://phaulibor.wikimedia.org/T165846
https://phaulibor.wikimedia.org/T134100
https://phaulibor.wikimedia.org/T178451
https://phaulibor.wikimedia.org/T176247
https://phaulibor.wikimedia.org/T125163
https://phaulibor.wikimedia.org/T180231
https://phaulibor.wikimedia.org/T125163
https://phaulibor.wikimedia.org/T124404
https://phaulibor.wikimedia.org/T119158
https://phaulibor.wikimedia.org/T180488
https://phaulibor.wikimedia.org/T125177
==发行说明==
1.27.4的完整发行说明:
https://phabrictor.wikimedia.org/differation/MW/browse/REL1_27/RELEAS-NOTES(发布-注释)
…
https://www.mediawiki.org/wiki/Release_notes/1.27
1.28.3的完整发行说明:
https://phabrictor.wikimedia.org/differation/MW/browse/REL1_28/RELEAS-NOTES(发布-注释)
…
https://www.mediawiki.org/wiki/Release_notes/1.28
1.29.2的完整发行说明:
https://phabrictor.wikimedia.org/differation/MW/browse/REL1_29/RELEAS-NOTES(发布-注释)
…
https://www.mediawiki.org/wiki/Release_notes/1.29
有关如何升级的信息,请参阅
<
https://www.mediawiki.org/wiki/Manual:升级
>
**********************************************************************
下载:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.4.tar.gz
无捆绑扩展下载:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.4.tar.gz
先前版本(1.27.3)的修补程序:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.4.patch.gz
GPG签名:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.4.tar.gz。
…
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.4.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.4.patch.gz.sig
公钥:
https://www.mediawiki.org/keys/keys.html
**********************************************************************
下载:
https://releases.wikimedia.org/mediawiki/1.28/mediawiki-1.28.3.tar.gz
不带捆绑扩展的下载:
https://releases.wikimedia.org/mediawiki/1.28/mediawiki-core-1.28.3.tar.gz
早期版本(1.28.2)的修补程序:
https://releases.wikimedia.org/mediawiki/128/mediawiki-1.28.3.patch.gz
GPG签名:
https://releases.wikimedia.org/mediawiki/128/mediawiki-core-1.28.3.tar.gz。
…
https://releases.wikimedia.org/mediawiki/1.28/mediawiki-1.28.3.tar.gz.sig网站
https://releases.wikimedia.org/mediawiki/1.28/mediawiki-1.28.3.patch.gz.sig
公钥:
https://www.mediawiki.org/keys/keys.html
**********************************************************************
下载:
https://releases.wikimedia.org/mediawiki/1.29/mediawiki-1.29.2.tar.gz
无捆绑扩展下载:
https://releases.wikimedia.org/mediawiki/1.29/mediawiki-core-1.29.2.tar.gz
早期版本(1.29.1)的修补程序:
https://releases.wikimedia.org/mediawiki/1.29/mediawiki-1.29.2.patch.gz
GPG签名:
https://releases.wikimedia.org/mediawiki/1.29/mediawiki-core-1.29.2.tar.gz。
…
https://releases.wikimedia.org/mediawiki/1.29/mediawiki-1.29.2.tar.gz.sig网站
https://releases.wikimedia.org/mediawiki/1.29/mediawiki-1.29.2.patch.gz.sig
公钥:
https://www.mediawiki.org/keys/keys.html
0
0
答复
回到线程
返回列表