Se ha diagnosticado un fallo de seguridad que podría permitir a un
atacante la ejecución de ataques XSS (Cross-Site Scripting) en
MediaWiki.
MediaWiki es un proyecto de código abierto que porporciona un motor
libre de carácter colaborativo editable por los usuarios, lo que se
conoce habitualmente como un wiki. El principal baluarte y ejemplo
más representativo de esta plataforma es la enciclopedia libre, la
Wikipedia, si bien muchos usuarios emplean MediaWiki para conformar
sus propios motores colaborativos, con lo que este problema de
seguridad afecta a toda la comunidad de usuarios de la solución.
Según los parches liberados, los insumos de los enlaces codificados
no se comprueban y sanean adecuadamente antes de ser mostrados al
usuario, lo que podría facilitar que un atacante malicioso ejecutase
código HTML y/o de script de carácter arbitrario en el contexto de la
sesión de navegación de un usuario que circule por un servidor con una
versión MediaWiki vulnerable. Esto permitiría a un atacante mostrar
contenidos ilegítimos en páginas legítimas, y por tanto, engañar al
visitante.
El problema, de carácter moderadamente crítico, requiere la
actualización a las versiones liberadas para tal efecto, que no sólo
corrigen el fallo descrito, sino que además incorporan «fixes» de
mantenimiento menores. El problema afecta a las dos ramas de MediaWiki
en funcionamiento, la 1.4.x y la 1.5.x, con lo que la recomendación
natural que trasladamos a los administradores de esta solución es la
actualización con carácter inmediato. Habida cuenta de que este
producto es frecuente encontrarlo en proveedores de hospedaje con
soluciones de instalación rápida mediante paquetes prealmacenados del
tipo «Installatron», los administradores de hospedaje con servicios
de valor añadido de este tipo deberían actualizar igualmente.
Se recuerda a los usuarios que desde la versión 1.2.0, MediaWiki no
necesita la directiva de PHP register_globals operativa, con lo que lo
más prudente es desactivarla. Cuando los proveedores de hospedaje la
tengan activada por causas justificadas, o bien no atiendan a nuestras
peticiones de desactivación, es posible neutralizar la directiva
incluyendo la línea «php_flag register_globals off» en el fichero
.htaccess del directorio considerado.
En caso de requerir asistencia, los administradores MediaWiki pueden
acudir al soporte comunitario a través de IRC, en el canal #mediawiki
de irc.freenode.net
shernando@hispasec.com
Más información:
MediaWiki 1.5.8 and 1.4.15 asecurity and bugfix maintenance releases
http://mail.wikipedia.org/pipermail/mediawiki-announce/2006-March/000040.html
MediaWiki 1.5.8
http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.5.8.tar.gz
MediaWiki 1.4.15
http://prdownloads.sourceforge.net/wikipedia/mediawiki-1.4.15.tar.gz
MediaWiki
http://es.wikipedia.org/wiki/MediaWiki
Sites that use MediaWiki
http://meta.wikimedia.org/wiki/Sites_using_MediaWiki
Deja una respuesta