[MediaWiki公告]安全和维护版本:1.27.6/1.30.2/1.31.2/1.32.2

萨姆·里德 在wikimedia.org上的reedy
2019年6月6日星期四15:50:05 UTC


大家好,我要宣布MediaWiki 1.32.2、1.31.2、1.30.2和1.27.6的发布!这些版本修复了核心中的11个安全问题(而不是发布前公告中报告的12个)。这是个错误,对不起!)其中还包括
一些以前承诺用于git的次要安全和强化修补程序。
下载链接在本电子邮件末尾给出。
补丁程序将在本电子邮件发送后推送到Gerrit,并将在我们的CI基础设施允许的情况下尽快进入相关分支机构。
 git标记将很快跟进。所有相关任务将在接下来的几个小时内在Phabricator中公开。
 
请注意,2018年12月是MediaWiki 
 1.30的终止日期。这意味着MediaWiki 1.30.2将是该版本的最后一个安全版本,除非出现任何不可预见的问题。我们强烈建议MediaWiki 1.30的用户尽快升级到2018年6月发布的MediaWiki 1.31(LTS版本)或更新版本。MediaWiki 1.31将在2021年7月之前得到支持。见<https://www.mediawiki.org/wiki/Version_生命周期>如需了解更多信息,2019年6月是MediaWiki 1.27(旧版LTS)的预定终止日期。这意味着MediaWiki 1.27.6将是该版本的最后一个安全版本,除非出现任何不可预见的问题。我们强烈建议MediaWiki 1.27的用户尽快升级到2018年6月发布的MediaWiki 1.31(LTS版本)或更新版本。MediaWiki 1.31将在2021年7月之前得到支持。见<https://www.mediawiki.org/wiki/Version_生命周期>有关更多信息。,CVE-2019-12473)通过查询整个“watchlist”表,向API传递无效标题可能会导致
 DoS 
*(T207603,CVE-2019-12471)从不存在的帐户加载用户JavaScript允许任何人创建帐户,并XSS用户加载的
*(T208881)blacklist CSS var()。
*(T199540,CVE-2019-12472)可以通过使用API绕过IP范围
块(`$wgBlockCIDRLimit`)的限制。
*(T212118,CVE-2019-12474)包含最近的更改是否已被巡逻的特权API响应可以被公开缓存。
*(T209794,CVE-2019-12467)垃圾邮件发送者可以使用Special:changemail发送
 out 
垃圾邮件,但没有速率限制或阻止能力*(T25227,CVE-2019-12466)无需使用
令牌
(CSRF)即可注销帐户。
*(T222036,CVE-2019-12469)暴露禁止的用户名或登录
特殊:EditTags。
*(T222038,CVE-2019-12470)暴露禁止登录的修订删除页面。
*(T221739,CVE-2019-11358)修复jQuery中的潜在XSS。
===指向所有提及任务的链接==*https://phabricator.wikimedia.org/T197279*https://phabricator.wikimedia.org/T204729*https://phabricator.wikimedia.org/T207603*https://phabricator.wikimedia.org/T208881*https://phabricator.wikimedia.org/T199540*https://phabricator.wikimedia.org/T212118*https://phabricator.wikimedia.org/T209794*https://phabricator.wikimedia.org/T222036*https://phabricator.wikimedia.org/T222038*https://phabricator.wikimedia.org/T221739*https://phabricator.wikimedia.org/T25227==发行说明==
 
 1.27.6的完整发行说明:wikirelator/27.wikirelator/27.wikirelator/org/
https://www.mediawiki.org/wiki/Release_notes/1.271.30.2的完整发行说明:https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_30/RELEASE-NOTES-1.30
https://www.mediawiki.org/wiki/Release_notes/1.301.31.2的完整发行说明:https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_31/RELEASE-NOTES-1.31
https://www.mediawiki.org/wiki/Release_notes/1.311.32.2的完整发行说明:https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_29/RELEASE-NOTES-1.32
https://www.mediawiki.org/wiki/Release_notes/1.32有关如何升级的信息,请参见<https://www.mediawiki.org/wiki/Manual:升级>下载********************https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.tar.gz无捆绑扩展的下载:https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.6.tar.gz以前版本(1.27.5)的修补程序:https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.patch.gzGPG签名:https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.6.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.patch.gz.sig公钥:https://www.mediawiki.org/keys/keys.html**********************************************************************下载:https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.tar.gz无捆绑扩展的下载:https://releases.wikimedia.org/mediawiki/1.30/mediawiki-core-1.30.2.tar.gz以前版本(1.30.1)的修补程序:wiki.30.2.wiki.2.wiki/media补丁GPG签名:https://releases.wikimedia.org/mediawiki/1.30/mediawiki-core-1.30.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.patch.gz.sig公钥:https://www.mediawiki.org/keys/keys.html**********************************************************************下载:https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.tar.gz无捆绑扩展的下载:https://releases.wikimedia.org/mediawiki/1.31/mediawiki-core-1.31.2.tar.gz以前版本(1.31.1)的修补程序:https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.patch.gzGPG签名:https://releases.wikimedia.org/mediawiki/1.31/mediawiki-core-1.31.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.patch.gz.sig公钥:https://www.mediawiki.org/keys/keys.html**********************************************************************下载:https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.tar.gz未捆绑下载扩展:https://releases.wikimedia.org/mediawiki/1.32/mediawiki-core-1.32.2.tar.gz以前版本(1.32.1)的修补程序:https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.patch.gzGPG签名:https://releases.wikimedia.org/mediawiki/1.32/mediawiki-core-1.32.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.patch.gz.sig公钥:https://www.mediawiki.org/keys/keys.html**********************************************************************下载:https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.tar.gz无捆绑扩展的下载:https://releases.wikimedia.org/mediawiki/1.33/mediawiki-core-1.33.2.tar.gz以前版本(1.33.1)的修补程序:https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.patch.gzGPG签名:https://releases.wikimedia.org/mediawiki/1.33/mediawiki-core-1.33.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.patch.gz.sig公钥:https://www.mediawiki.org/keys/keys.html


有关MediaWiki公告邮件列表的更多信息