MediaWiki 图像链接输入验证漏洞

漏洞介绍

MediaWiki是美国维基媒体（Wikimedia）基金会和MediaWiki志愿者共同开发维护的一套自由免费的基于网络的Wiki引擎，它可用于部署内部的知识管理和内容管理系统。

MediaWiki的图像链接存在输入验证漏洞。因未阻止wiki编辑者从wiki页面上的其它web站点引用图片链接，允许编辑者通过在攻击者控制的web站点上增加一个图像链接取得wiki用户的IP地址和其它信息，也叫“CSS确认问题”。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.2.tar.gz

http://download.wikimedia.org/mediawiki/1.15/mediawiki-1.15.2.patch.gz

http://download.wikimedia.org/mediawiki/1.15/mediawiki-i18n-1.15.2.patch.gz

来源: MLIST

名称: [MediaWiki-announce] 20100303 MediaWiki security update: 1.15.2

链接：http://lists.wikimedia.org/pipermail/mediawiki-announce/2010-March/000088.html
来源: VUPEN

名称: ADV-2010-0685

链接：http://www.vupen.com/english/advisories/2010/0685
来源: DEBIAN

名称: DSA-2022

链接：http://www.debian.org/security/2010/dsa-2022