----- Forwarded message from Salcocho Noticioso <feedblas...@hcg.sld.cu> -----
Date: Sun, 28 Aug 2016 23:00:05 -0400 From: Salcocho Noticioso <feedblas...@hcg.sld.cu> To: laz...@hcg.sld.cu Subject: Nuevas versiones de MediaWiki corrigen diversas vulnerabilidades [Hispasec @unaaldia] X-Mailer: feedblaster.rb - ruby 2.3.1p112 (2016-04-26 revision 54768) [x86_64-linux] Nuevas versiones de MediaWiki corrigen diversas vulnerabilidades Se han publicado nuevas versiones de MediaWiki para las ramas 1.27, 1.26 y 1.23 que corrigen diferentes fallos de seguridad, que podrían permitir a un atacante realizar ataques de cross-site scripting y eludir restricciones de seguridad. [Mediawiki-Logo] MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia. Un problema corregido reside en cross-site scriptings por la codificación del carácter "%" dentro de enlaces internos y en la previsualización de CSS. Otro problema por un error en la API relacionado con la generación de elementos de las cabeceras. Usuarios con permisos de recuperación pueden borrar el estado de una revisión de archivo (incluso si el archivo está eliminado), cuando realmente no tienen permisos para ello. Las cuentas eliminadas no cerraban adecuadamente la sesión, de forma que un usuario autenticado podía seguir accediendo aun con una cuenta ya cerrada o inexistente. Por último la API podía emplearse para eludir completamente la extensión Lockdown. Las nuevas versiones 1.27.1, 1.26.4 y 1.23.15 solucionan estas vulnerabilidades. Pueden descargarse desde: https://www.mediawiki.org/wiki/Download Más información: MediaWiki Release notes 1.27 https://www.mediawiki.org/wiki/Release_notes/1.27 MediaWiki Release notes 1.26 https://www.mediawiki.org/wiki/Release_notes/1.26 MediaWiki Release notes 1.23 https://www.mediawiki.org/wiki/Release_notes/1.23 Antonio Ropero anton...@hispasec.com Twitter: @aropero * ----- End forwarded message ----- -- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
