[MediaWiki公告]安全和维护版本：1.27.6/1.30.2/1.31.2/1.32.2

萨姆·里德 在wikimedia.org上的reedy
2019年6月6日星期四15:50:05 UTC
上一条消息：[MediaWiki公告]安全预发布公告：1.27.6/1.30.2/1.31.2/1.32.2
下一条消息：[MediaWiki宣布]MediaWiki 1.27和1.30现在已经结束
邮件排序依据： [日期] [线] [主题] [作者]
大家好，我要宣布MediaWiki 1.32.2、1.31.2、1.30.2和1.27.6的发布！这些版本修复了核心中的11个安全问题（而不是发布前公告中报告的12个）。这是个错误，对不起！）其中还包括
一些以前承诺用于git的次要安全和强化修补程序。
下载链接在本电子邮件末尾给出。
补丁程序将在本电子邮件发送后推送到Gerrit，并将在我们的CI基础设施允许的情况下尽快进入相关分支机构。
 git标记将很快跟进。所有相关任务将在接下来的几个小时内在Phabricator中公开。
 
请注意，2018年12月是MediaWiki 
 1.30的终止日期。这意味着MediaWiki 1.30.2将是该版本的最后一个安全版本，除非出现任何不可预见的问题。我们强烈建议MediaWiki 1.30的用户尽快升级到2018年6月发布的MediaWiki 1.31（LTS版本）或更新版本。MediaWiki 1.31将在2021年7月之前得到支持。见<https://www.mediawiki.org/wiki/Version_生命周期>如需了解更多信息，2019年6月是MediaWiki 1.27（旧版LTS）的预定终止日期。这意味着MediaWiki 1.27.6将是该版本的最后一个安全版本，除非出现任何不可预见的问题。我们强烈建议MediaWiki 1.27的用户尽快升级到2018年6月发布的MediaWiki 1.31（LTS版本）或更新版本。MediaWiki 1.31将在2021年7月之前得到支持。见<https://www.mediawiki.org/wiki/Version_生命周期>有关更多信息。，CVE-2019-12473）通过查询整个“watchlist”表，向API传递无效标题可能会导致
 DoS 
*（T207603，CVE-2019-12471）从不存在的帐户加载用户JavaScript允许任何人创建帐户，并XSS用户加载的
*（T208881）blacklist CSS var（）。
*（T199540，CVE-2019-12472）可以通过使用API绕过IP范围
块（`$wgBlockCIDRLimit`）的限制。
*（T212118，CVE-2019-12474）包含最近的更改是否已被巡逻的特权API响应可以被公开缓存。
*（T209794，CVE-2019-12467）垃圾邮件发送者可以使用Special:changemail发送
 out 
垃圾邮件，但没有速率限制或阻止能力*（T25227，CVE-2019-12466）无需使用
令牌
（CSRF）即可注销帐户。
*（T222036，CVE-2019-12469）暴露禁止的用户名或登录
特殊：EditTags。
*（T222038，CVE-2019-12470）暴露禁止登录的修订删除页面。
*（T221739，CVE-2019-11358）修复jQuery中的潜在XSS。
===指向所有提及任务的链接==*https://phabricator.wikimedia.org/T197279*https://phabricator.wikimedia.org/T204729*https://phabricator.wikimedia.org/T207603*https://phabricator.wikimedia.org/T208881*https://phabricator.wikimedia.org/T199540*https://phabricator.wikimedia.org/T212118*https://phabricator.wikimedia.org/T209794*https://phabricator.wikimedia.org/T222036*https://phabricator.wikimedia.org/T222038*https://phabricator.wikimedia.org/T221739*https://phabricator.wikimedia.org/T25227==发行说明==
 
 1.27.6的完整发行说明：wikirelator/27.wikirelator/27.wikirelator/org/
https://www.mediawiki.org/wiki/Release_notes/1.271.30.2的完整发行说明：https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_30/RELEASE-NOTES-1.30
https://www.mediawiki.org/wiki/Release_notes/1.301.31.2的完整发行说明：https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_31/RELEASE-NOTES-1.31
https://www.mediawiki.org/wiki/Release_notes/1.311.32.2的完整发行说明：https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_29/RELEASE-NOTES-1.32
https://www.mediawiki.org/wiki/Release_notes/1.32有关如何升级的信息，请参见<https://www.mediawiki.org/wiki/Manual:升级>下载********************https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.tar.gz无捆绑扩展的下载：https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.6.tar.gz以前版本（1.27.5）的修补程序：https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.patch.gzGPG签名：https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.6.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.patch.gz.sig公钥：https://www.mediawiki.org/keys/keys.html**********************************************************************下载：https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.tar.gz无捆绑扩展的下载：https://releases.wikimedia.org/mediawiki/1.30/mediawiki-core-1.30.2.tar.gz以前版本（1.30.1）的修补程序：wiki.30.2.wiki.2.wiki/media补丁GPG签名：https://releases.wikimedia.org/mediawiki/1.30/mediawiki-core-1.30.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.patch.gz.sig公钥：https://www.mediawiki.org/keys/keys.html**********************************************************************下载：https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.tar.gz无捆绑扩展的下载：https://releases.wikimedia.org/mediawiki/1.31/mediawiki-core-1.31.2.tar.gz以前版本（1.31.1）的修补程序：https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.patch.gzGPG签名：https://releases.wikimedia.org/mediawiki/1.31/mediawiki-core-1.31.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.patch.gz.sig公钥：https://www.mediawiki.org/keys/keys.html**********************************************************************下载：https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.tar.gz未捆绑下载扩展：https://releases.wikimedia.org/mediawiki/1.32/mediawiki-core-1.32.2.tar.gz以前版本（1.32.1）的修补程序：https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.patch.gzGPG签名：https://releases.wikimedia.org/mediawiki/1.32/mediawiki-core-1.32.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.patch.gz.sig公钥：https://www.mediawiki.org/keys/keys.html**********************************************************************下载：https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.tar.gz无捆绑扩展的下载：https://releases.wikimedia.org/mediawiki/1.33/mediawiki-core-1.33.2.tar.gz以前版本（1.33.1）的修补程序：https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.patch.gzGPG签名：https://releases.wikimedia.org/mediawiki/1.33/mediawiki-core-1.33.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.patch.gz.sig公钥：https://www.mediawiki.org/keys/keys.html
上一条消息：[MediaWiki公告]安全预发布公告：1.27.6/1.30.2/1.31.2/1.32.2
下一条消息：[MediaWiki宣布]MediaWiki 1.27和1.30现在已经结束
邮件排序依据： [日期] [线] [主题] [作者]
有关MediaWiki公告邮件列表的更多信息