S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 30 juillet 2010
N° CERTA-2010-AVI-346
Affaire suivie par: CERT-FR
le 30 juillet 2010

Avis du CERT-FR

Objet: Vulnérabilités dans MediaWiki

Gestion du document

Référence CERTA-2010-AVI-346
Titre Vulnérabilités dans MediaWiki
Date de la première version 30 juillet 2010
Date de la dernière version 30 juillet 2010
Source(s) Bulletin de sécurité MediaWiki du 28 juillet 2010
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à la confidentialité des données ;
  • injection de code indirecte à distance.

Systèmes affectés

  • MediaWiki versions antérieures à la 1.15.5 ;
  • MediaWiki versions antérieures à la 1.16.0.

Résumé

Deux vulnérabilités dans MediaWiki permettent à une personne malintentionnée de porter atteinte à la confidentialité des données ou d'effectuer une injection de code indirecte.

Description

Deux vulnérabilités ont été découvertes dans MediaWiki :

  • une erreur dans la gestion du paramètre Cache-Control du fichier api.php permet de porter atteinte à la confidentialité des données ;
  • une vulnérabilité, de type injection de code indirecte, a été corrigée dans le fichier profileinfo.php. Celle-ci n'est exploitable que si le paramètre $wgEnableProfileInfo = True est placé dans le fichier LocalSettings.php.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 30 juillet 2010
    version initiale.