--------- Mensaje reenviado -------- De: [EMAIL PROTECTED] Responder a: [EMAIL PROTECTED] Para: [EMAIL PROTECTED] Asunto: una-al-dia (03/04/2006) Cross Site Scripting en MediaWiki Fecha: Tue, 04 Apr 2006 03:45:02 +0200
---------------------------SPOT-------------------------
AUDITORIAS DE SEGURIDAD INFORMATICA DE HISPASEC
Hispasec Sistemas ofrece sus servicios de auditoría de seguridad
informática, destinados a determinar y evaluar las vulnerabilidades
que puedan presentarse en sus sistemas.
Auditoría interna. Auditoría perimetral. Tests de intrusión.
Análisis forense. Auditoría de páginas Web. Auditoría de código
Más información en:
http://www.hispasec.com/corporate/auditoria.html
---------------------------SPOT-------------------------
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 03/04/2006
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Cross Site Scripting en MediaWiki
---------------------------------
Se ha diagnosticado un fallo de seguridad que podría permitir a un
atacante la ejecución de ataques XSS (Cross-Site Scripting) en
MediaWiki.
MediaWiki es un proyecto de código abierto que porporciona un motor
libre de carácter colaborativo editable por los usuarios, lo que se
conoce habitualmente como un wiki. El principal baluarte y ejemplo
más representativo de esta plataforma es la enciclopedia libre, la
Wikipedia, si bien muchos usuarios emplean MediaWiki para conformar
sus propios motores colaborativos, con lo que este problema de
seguridad afecta a toda la comunidad de usuarios de la solución.
Según los parches liberados, los insumos de los enlaces codificados
no se comprueban y sanean adecuadamente antes de ser mostrados al
usuario, lo que podría facilitar que un atacante malicioso ejecutase
código HTML y/o de script de carácter arbitrario en el contexto de la
sesión de navegación de un usuario que circule por un servidor con una
versión MediaWiki vulnerable. Esto permitiría a un atacante mostrar
contenidos ilegítimos en páginas legítimas, y por tanto, engañar al
visitante.
El problema, de carácter moderadamente crítico, requiere la
actualización a las versiones liberadas para tal efecto, que no sólo
corrigen el fallo descrito, sino que además incorporan "fixes" de
mantenimiento menores. El problema afecta a las dos ramas de MediaWiki
en funcionamiento, la 1.4.x y la 1.5.x, con lo que la recomendación
natural que trasladamos a los administradores de esta solución es la
actualización con carácter inmediato. Habida cuenta de que este
producto es frecuente encontrarlo en proveedores de hospedaje con
soluciones de instalación rápida mediante paquetes prealmacenados del
tipo "Installatron", los administradores de hospedaje con servicios
de valor añadido de este tipo deberían actualizar igualmente.
Se recuerda a los usuarios que desde la versión 1.2.0, MediaWiki no
necesita la directiva de PHP register_globals operativa, con lo que lo
más prudente es desactivarla. Cuando los proveedores de hospedaje la
tengan activada por causas justificadas, o bien no atiendan a nuestras
peticiones de desactivación, es posible neutralizar la directiva
incluyendo la línea "php_flag register_globals off" en el fichero
.htaccess del directorio considerado.
En caso de requerir asistencia, los administradores MediaWiki pueden
acudir al soporte comunitario a través de IRC, en el canal #mediawiki
de irc.freenode.net
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2718/comentar
Más información:
MediaWiki 1.5.8 and 1.4.15 asecurity and bugfix maintenance releases
http://mail.wikipedia.org/pipermail/mediawiki-announce/2006-March/000040.html
MediaWiki 1.5.8
http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.5.8.tar.gz
MediaWiki 1.4.15
http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.4.15.tar.gz
MediaWiki
http://es.wikipedia.org/wiki/MediaWiki
Sites that use MediaWiki
http://meta.wikimedia.org/wiki/Sites_using_MediaWiki
Sergio Hernando
[EMAIL PROTECTED]
Tal día como hoy:
-----------------
03/04/2005: Vulnerabilidad en Microsoft Jet permite la ejecución remota de
código
http://www.hispasec.com/unaaldia/2353
03/04/2004: Listado de directorios en ADA Image Server 0.x
http://www.hispasec.com/unaaldia/1987
03/04/2003: Actualización de Windows XP para redes Wi-Fi
http://www.hispasec.com/unaaldia/1621
03/04/2002: Vulnerabilidades en Office XP
http://www.hispasec.com/unaaldia/1256
03/04/2001: DeCSS: la odisea continua
http://www.hispasec.com/unaaldia/891
03/04/2000: Continúan los problemas de information Server e Index Server
http://www.hispasec.com/unaaldia/524
03/04/1999: Ataque DoS a WebRamp
http://www.hispasec.com/unaaldia/158
-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/contacto
-------------------------------------------------------------------
Bajas: mailto:[EMAIL PROTECTED]
Altas: mailto:[EMAIL PROTECTED]
-------------------------------------------------------------------
(c) 2006 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
iQEVAwUBRDGUVIzY9AwiTdVpAQLY6wf9F9EjQx4TrtiAw//9/P5qarV1DEQmMMrJ
jjD+01IJDmWQyQ+n9aE4/XOfDnDwbjlxqJfjkf89Y0951pSWXTucsDIAfQfy3SLI
rwZBF2tLbSZlieQhnfhUCBJz7vmaBh2efWntGbNlK9mYtE2oZZ5Y57SXmSpxcxdg
+TY3GN8e/iDMFETB1M08NeJd7YhVs6idUHn+UTXN/RU+IFMxG6qlMdRJBahDRiH2
SgC+UP6LY2DIKLxccoWanuggVC7mWofp2aph9EG4fczy/UeOV6/vquSFiiE+ITTr
QRoS1yM1UXRUDHYKtYeF7TtkeG+vDLDzEFz0JMNULKv+mWHIkf5jnA==
=chUk
-----END PGP SIGNATURE-----
--
Alejandro Ríos Peña
Ing. en Electrónica y Telecomunicaciones.
Avatar ltda.
Grupo GNU/Linux Universidad del Cauca - GLUC.
Comunidad Debian-Colombia.
signature.asc
Description: This is a digitally signed message part
_______________________________________________ gluc mailing list [email protected] http://afrodita.unicauca.edu.co/mailman/listinfo/gluc
