Опасная уязвимость в MediaWiki

30.01.2014 23:43

В популярном wiki-движке MediaWiki, используемом для обеспечения работы сайта Wikipedia, обнаружена критическая уязвимость (CVE-2014-1610), проявляющаяся при включении не активированной по умолчанию поддержки загрузки файлов в формате DjVu. Ошибка в коде создания миниатюр для файлов DjVu позволяет злоумышленнику организовать выполнение произвольного PHP-кода на сервере. Аналогичная проблема обнаружена в коде создания миниатюр при включенной поддержке загрузки PDF-файлов, но она проявляется только при установке дополнения PdfHandler. Проблемы исправлены в выпусках 1.22.2, 1.21.5 и 1.19.11. Уязвимость выявлена сотрудником компании Check Point и оперативно исправлена в Wikipedia до публичного обнародования информации о проблеме.

исправить +2 +/–

Главная ссылка к новости (http://lists.wikimedia.org/pip...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38970-mediawiki

Ключевые слова: mediawiki

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.4, брат Анон (?), 10:48, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Даёшь fb2 как глобальный стандарт.

2.7, Andrey Mitrofanov (?), 11:40, 31/01/2014 [^] [^^] [^^^] [ответить]	+/–
> Даёшь fb2 как глобальный стандарт. И мир во всём мире, пожалуйста.

3.9, pavlinux (ok), 13:54, 31/01/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Я за ASCII! Шрефты, правильную разметку, переносы должон делать сам прибор. Ибо нефиг, - приборы с гигарецами на борту, а интеллект на уровне 80186 остался.

4.20, Аноним (-), 18:58, 31/01/2014 [^] [^^] [^^^] [ответить]

+/–

> а интеллект на уровне 80186 остался.

Скажите спасибо, что не 4004.

4.22, ваноним (?), 22:06, 31/01/2014 [^] [^^] [^^^] [ответить]	+1 +/–
и все документы -- на английском, без графики и прочей роскоши. а то избаловались тут

2.16, arisu (ok), 16:37, 31/01/2014 [^] [^^] [^^^] [ответить]	+/–
> Даёшь fb2 как глобальный стандарт. не даю. следующий!

3.17, бедный буратино (ok), 16:43, 31/01/2014 [^] [^^] [^^^] [ответить]	–1 +/–
>> Даёшь fb2 как глобальный стандарт. > не даю. жадина!

2.24, ZloySergant (ok), 23:10, 31/01/2014 [^] [^^] [^^^] [ответить]	+/–
>Даёшь fb2 как глобальный стандарт. Фу, кака! Тады уж org. Оно хотя бы просто текст, а не куча всяких извращений.

2.25, adolfus (ok), 10:53, 03/02/2014 [^] [^^] [^^^] [ответить]	+/–
Книга, журнал, газета и т.п. состоит из двух совершенно одинаково важных компонент -- содержания и оформления. К сожалению, fb2 не годится для кодирования подавляющего большинства книг. Разве что студенческих шпаргалок по гуманитарным предметам и для тех, кто не видит разницы между тетками и их надувными муляжами. Даже не представляю, что собой может представлять, например, "Похождения бравого солдата Швейка" в формате fb2, или Гаргантюа и Пантагрюэль.

3.26, arisu (ok), 17:03, 03/02/2014 [^] [^^] [^^^] [ответить]	+/–
(задумчиво) у «Швейка» буквы будут вверх ногами, что ли? или ты жить не можешь без картинок Лады? так всё равно нет ни одного издания, куда они входят все, насколько я помню. p.s. но fb2 — говно, конечно.

1.18, Аноним (-), 18:13, 31/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> оперативно исправлена ... до публичного обнародования информации о проблеме Самое интересное в заметке - вот правильный подход к решению проблем.

2.19, Reinar (ok), 18:27, 31/01/2014 [^] [^^] [^^^] [ответить]	+/–
Ну вообще-то обычная у нормальных людей практика. Вендор ставится в известность всегда, но если не реагирует или просто шлёт по известному маршруту, то уязвимость через какое-то время публикуется вне зависимости от того, была она закрыта или нет.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: