安全和维护版本:1.27.6/1.30.2/1.31.2/1.32.2

萨姆·里德 Wikimdia.Org的Rediy
6月6日15:50:05 UTC 2019


大家好,我想宣布MadiaWiKi 1.32.2、1.31.2、1.30.2和1.27.6的发布!这些版本在内核中修复了11个安全问题(不是在预发布公告中报告的12个)。这是个错误,抱歉!)还包括一些先前提交给Git的小安全性和硬化补丁。在这个电子邮件的末尾给出下载链接。在发送电子邮件后,补丁将被推到GRITIT,并且将尽快进入我们的CI基础设施允许的相关分支。所有相关的任务也将在接下来的几小时内公布在PHB中。请注意,2018年12月是MealaWiki 1.30的最后期限。这意味着MyaWiki1.30.2将是该版本的最后一个安全发布,除非有任何未预料到的问题。我们将强烈鼓励MyaWiKi 1.30的用户升级到MyaWiki 1.31(LTS版本),在六月发布2018版本,或者更新版本。MiTaWiKi 1.31将一直支持到2021年7月。见<HTTPS://www. MiaWikI.Org/Wik/ValuoNi生命周期欲了解更多信息,2019年6月是MeaWiKi 1.27(旧LTS版本)的生命周期的预定结束。这意味着MyaWiKi1.1.7.6将是该版本的最后一个安全版本,除非有任何未预料到的问题。我们将强烈鼓励MyaWiKi 1.27的用户升级到MyaWiki 1.31(LTS版本),在六月发布2018版本,或者更新版本。MiTaWiKi 1.31将一直支持到2021年7月。见<HTTPS://www. MiaWikI.Org/Wik/ValuoNi生命周期> for more information.

This release also serves as a maintenance release for these branches.

== Security fixes ==
* (T197279, CVE-2019-12468) Directly POSTing to Special:ChangeEmail would
allow
  for bypassing reauthentication, allowing for potential account takeover.
* (T204729, CVE-2019-12473) Passing invalid titles to the API could cause a
DoS
  by querying the entire `watchlist` table.
* (T207603, CVE-2019-12471) Loading user JavaScript from a non-existent
account
  allows anyone to create the account, and XSS the users' loading that
script.
* (T208881) blacklist CSS var().
* (T199540, CVE-2019-12472) It is possible to bypass the limits on IP range
  blocks (`$wgBlockCIDRLimit`) by using the API.
* (T212118, CVE-2019-12474) Privileged API responses that include whether a
  recent change has been patrolled may be cached publicly.
* (T209794, CVE-2019-12467) A spammer can use Special:ChangeEmail to send
out
  spam with no rate limiting or ability to block them.
* (T25227, CVE-2019-12466) An account can 未使用标记令牌(CSRF)。* *(T222036,CVE-2019-12468)暴露的被禁止的用户名或登录名:EdtTrace.*(T222038,CVE-2019-12470)暴露在修订删除页中的被抑制的日志。* *(T221739,CVE-2019-11358)在jQuery中固定潜在的XSS。WHTKIMEDIA.OR/T19779*WHTKIMEDIA.OR/T20729*WHTKIMEDIA.OR/T207603*WHTKIMEDIA.OR/T2088*WHTKIMEDIA.OR/TSE5540*WHTKIMEDIA.OR/T212118*WHTKIMEDIA.OR/T2097*WHTKIMEDIA.OR/T222036*WHTKIMEDIA.OR/T222038*WHTKIMEDIA.OR/T221739*WHTKIMEDIA.OR/T25227=释放注释= =完全释放注释1.27.6:HTTPSE//PHABRICATOR.WKIMIMEDIA.Org/Deffsie/MW/BLUSESE/Rel1My27/RelpToES-1.27
HTTPS://www. MiaWikI.Org/Wik/RelaseEnEnths/1.271.30.2:HTTPSE//PHABRICATOR.Wikimdia.Org/Deffsie/MW/BLUSESE/Rel130/RelaseNOTES-1.30
HTTPS://www. MiaWikI.Org/Wik/RelaseEnEnths/1.301.31.2的完整发行说明:HTTPSE//PHABRICATOR.WKIMIMEDIA.Org/Deffsie/MW/BLUSESE/Rel1Y31/Rel-NOTES-1.31
HTTPS://www. MiaWikI.Org/Wik/RelaseEnEnths/1.311.32.2完整发行说明HTTPSE//PHABRICATOR.Wikimdia.Org/Deffsie/MW/BuffSE/Rel1y29/RelpSosi-1.32
HTTPS://www. MiaWikI.Org/Wik/RelaseEnEnths/1.32有关如何升级的信息,请参见http://www. MyaWiki .org/wiki /手册:升级<下载>:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.27/MIdiaWiki-1.27.6TAR.Gz无捆绑扩展的下载:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.27/MIdiaWiki-Cord-1.27.6TAR.Gz补丁到以前版本(1.27.5):HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.27/MIdiaWiki-1.27.6PATCH.GZGPG签名:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.27/MIdiaWiki-Cord-1.27.6TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.27/MIdiaWiki-1.27.6TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.27/MIdiaWiki-1.27.6PATCH.GZ.SIG公共密钥:HTTPS://www. MiaWikI.Org/Kys/KEY.HTML下载:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.30/MediaWiki-1.30.2.TAR.Gz无捆绑扩展的下载:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.30/MediaWiki-Cord-1.30.2.TAR.Gz补丁到以前版本(1.30.1):HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.30/MediaWiki-1.30.2.PaTCH.GzGPG签名:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.30/MediaWiki-Cord-1.30.2.TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.30/MediaWiki-1.30.2.TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.30/MediaWiki-1.30.2.PATCH.GZ.SIG公共密钥:HTTPS://www. MiaWikI.Org/Kys/KEY.HTML下载:HTTPS://Relas.Wikimdia.Org/MediaWiki/1.31/MIdiaWiki-1.31.2.TAR.Gz无捆绑扩展的下载:HTTPS://Relase:Wikimdia.Org/MediaWiki/1.31/MediaWiki-Cord-1.31.2.TAR.Gz补丁到以前版本(1.31.1):HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.31/MIdiaWiki-1.31.2.PTCCH.GZGPG签名:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.31/MediaWiki-Cord-1.31.2.TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.31/MediaWiki-1.31.2.TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.31/MediaWiki-1.31.2.PaTCH.GZ.SIG公共密钥:HTTPS://www. MiaWikI.Org/Kys/KEY.HTML下载:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.32/MIdiaWiki-1.32.2.TAR.GZ无捆绑扩展的下载:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.32/MIdiaWiki-Cord-1.32.2.TAR.GZ补丁到以前版本(1.32.1):HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.32/MIdiaWiki-1.32.2.PTCCH.GZGPG签名:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.32/MIdiaWiki-Cord-1.32.2.TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.32/MIdiaWiki-1.32.2.TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.32/MIdiaWiki-1.32.2.PTCCH.GZ.SIG公共密钥:HTTPS://www. MiaWikI.Org/Kys/KEY.HTML下载:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.33/MIdiaWiki-1.33.2.TAR.GZ无捆绑扩展的下载:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.33/MIdiaWiki-Cord-1.33.2.TAR.GZ补丁到以前版本(1.33.1):HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.33/MIdiaWiki-1.33.2.PTCCH.GZGPG签名:HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.33/MIdiaWiki-Cord-1.33.2.TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.33/MIdiaWiki-1.33.2.TAR.GZ.SIG
HTTPSE//Relas.Wikimdia.Org/MediaWiki/1.33/MIdiaWiki-1.33.2.PTCCH.GZ.SIG公共密钥:HTTPS://www. MiaWikI.Org/Kys/KEY.HTML


更多关于MyaWiKi发布邮件列表的信息