- Otras noticias
Disminuye el spam y aumenta el phishing.jpg)
Microsoft apuesta por la seguridad en Red
Denegación de servicio a través de IPv6 en Sun Solaris 8, 9 y 10
La actualización de productos Mozilla corrige hasta diez vulnerabilidades
Ejecución de código arbitrario en ClamAV
La versión final del IE7 es vulnerable a un viejo exploit.jpg)
Microsoft publica parches para siete defectos de software
Consejos para realizar la declaración de la renta online de forma segura.jpg)
Una empresa ofrece sus servicios de hacking ético para analizar la vulnerabilidad de las empresas
La policía científica podrá conocer la marca de un cigarro por las cenizas
- En el foro
-
VULNERABILIDADES
Cross Site Scripting en MediaWiki
04 Abr 2006 | HISPASEC.COM
MediaWiki es un proyecto de código abierto que porporciona un motor libre de carácter colaborativo editable por los usuarios, lo que se conoce habitualmente como un wiki. El principal baluarte y ejemplo más representativo de esta plataforma es la enciclopedia libre, la Wikipedia, si bien muchos usuarios emplean MediaWiki para conformar sus propios motores colaborativos, con lo que este problema de seguridad afecta a toda la comunidad de usuarios de la solución.
Según los parches liberados, los insumos de los enlaces codificados no se comprueban y sanean adecuadamente antes de ser mostrados al usuario, lo que podría facilitar que un atacante malicioso ejecutase código HTML y/o de script de carácter arbitrario en el contexto de la sesión de navegación de un usuario que circule por un servidor con una versión MediaWiki vulnerable. Esto permitiría a un atacante mostrar contenidos ilegítimos en páginas legítimas, y por tanto, engañar al visitante.
El problema, de carácter moderadamente crítico, requiere la
actualización a las versiones liberadas para tal efecto, que no sólo corrigen el fallo descrito, sino que además incorporan "fixes" de mantenimiento menores. El problema afecta a las dos ramas de MediaWiki en funcionamiento, la 1.4.x y la 1.5.x, con lo que la recomendación natural que trasladamos a los administradores de esta solución es la actualización con carácter inmediato. Habida cuenta de que este producto es frecuente encontrarlo en proveedores de hospedaje con soluciones de instalación rápida mediante paquetes prealmacenados del tipo "Installatron", los administradores de hospedaje con servicios de valor añadido de este tipo deberían actualizar igualmente.
Se recuerda a los usuarios que desde la versión 1.2.0, MediaWiki no necesita la directiva de PHP register_globals operativa, con lo que lo más prudente es desactivarla. Cuando los proveedores de hospedaje la tengan activada por causas justificadas, o bien no atiendan a nuestras peticiones de desactivación, es posible neutralizar la directiva incluyendo la línea "php_flag register_globals off" en el fichero .htaccess del directorio considerado.
En caso de requerir asistencia, los administradores MediaWiki pueden acudir al soporte comunitario a través de IRC, en el canal #mediawiki de irc.freenode.net
Más información:
MediaWiki 1.5.8 and 1.4.15 asecurity and bugfix maintenance releases
http://mail.wikipedia.org/pipermail/mediawiki-announce/2006-March/000040.html
MediaWiki 1.5.8
http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.5.8.tar.gz
MediaWiki 1.4.15
http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.4.15.tar.gz
MediaWiki
http://es.wikipedia.org/wiki/MediaWiki
Sites that use MediaWiki
http://meta.wikimedia.org/wiki/Sites_using_MediaWiki - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
