| 취약점ID |
21752 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
MediaWiki의 버전 정보에 따르면 해당 소프트웨어에는 다중의 취약점들이 존재한다. MediaWiki는 PHP로 제작된 Wikipedia, Wiktionary을 포함한 여러 소프트웨어들을 위한 무료로 쓸 수 있는 편집 프로그램이다. MediaWiki 1.3.17, 1.4.11 그리고 1.5.0 이전의 버전들은 다중의 취약점들에 취약하다. 이 취약점들은 원격지의 공격자에 의해 Cross-Site Scripting 그리고 데이터베이스 깨뜨리기 공격들을 수행하는 데 도용될 수 있다:
1) MediaWiki History 데이터베이스 깨뜨리기 취약점: MediaWiki Wiki 편집 메시지 제출(submission) 처리 루틴에 있는 버그는 비정상적인 URL이 사용될 경우 데이터베이스에 있는 이전의 갱신자료를 깨뜨릴 수 있다. 이는 몇몇 Spam Bot들에 의해 사용되어 지기도 한다.
2) Cross-Site Scripting 취약점: HTML Inline 유형의 속성들에 대한 사용자 입력은 사용되기 전에 적절하게 걸러지지 않는다. 이것은 임의의 스크립트 코드를 주입하는데 도용될 수 있으며 이는 악의적인 사용자 데이터가 보여지는 시점에 영향을 받는 사이트의 환경 하에서 사용자의 브라우저 세션으로 실행된다.
* 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 MediaWiki의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다.
* 참고 사이트:
http://sourceforge.net/project/shownotes.php?release_id=342530
http://sourceforge.net/forum/forum.php?forum_id=501174
http://secunia.com/advisories/17074/
* 영향을 받는 플랫폼:
The Wikimedia Foundation 사, MediaWiki 1.3.17 이전의 버전들
The Wikimedia Foundation 사, MediaWiki 1.4.11 이전의 버전들
The Wikimedia Foundation 사, MediaWiki 1.5.0 이전의 버전들
모든 운영체제 모든 버전 |
| 해결책 |
MediaWiki 웹 사이트인 http://www.mediawiki.org/wiki/Download#Stable 에서 구할 수 있는 MediaWiki의 가장 최신 버전(1.3.17 혹은 1.4.11 혹은 1.5.0 혹은 이후)을 구하여 업그레이드 하여야 한다. |
| 관련 URL |
CVE-2005-3167 (CVE) |
| 관련 URL |
15024,15041 (SecurityFocus) |
| 관련 URL |
22533 (ISS) |
|
