English

◀◁ 뒤로 취약점ID 21686 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 MediaWiki의 버전 정보에 따르면 해당 소프트웨어에는 page move 템플릿에 있는 Cross-Site Scripting 취약점이 존재한다. MediaWiki는 PHP로 제작된 Wikipedia, Wiktionary을 포함한 여러 소프트웨어들을 위한 무료로 쓸 수 있는 편집 프로그램이다. MediaWiki 1.4.5 이하의 버전들과 1.5 alpha2 이하의 버전들은 page move 템플릿들에 있는 어떤 인수를 통해 원격지의 공격자가 임의의 웹 스크립트를 주입할 수 있게 해 준다. 이 취약점은 원격지의 공격자가 악의적인 HTML과 스크립트 코드를 포함하는 취약한 어플리케이션으로의 악의적인 링크(link)를 만들게 해 줄 수 있다. 만약 이 링크를 따라가게 된다면 악의적인 코드가 희생자의 웹 브라우저에서 실행될 수 있다. 이것은 영향을 받는 웹 사이트의 보안 권한을 가지고 행해지며 쿠키 기반의 인증 신용정보를 빼내거나 다른 공격들의 수행을 허용할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 MediaWiki의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://bugzilla.wikimedia.org/show_bug.cgi?id=2304 http://www.osvdb.org/17763 http://archives.neohapsis.com/archives/fulldisclosure/2005-07/0470.html * 영향을 받는 플랫폼: The Wikimedia Foundation 사, MediaWiki 1.5 alpha2 이하의 버전들 The Wikimedia Foundation 사, MediaWiki 1.5 beta2 이하의 버전들 The Wikimedia Foundation 사, MediaWiki 1.4.5 이하의 버전들 The Wikimedia Foundation 사, MediaWiki 1.4 beta6 모든 운영체제 모든 버전 해결책 MediaWiki 웹 사이트인 http://wikipedia.sourceforge.net/ 에서 구할 수 있는 MediaWiki의 가장 최신 버전(1.4.7 혹은 이후)을 구하여 업그레이드 하여야 한다. Gentoo Linux의 경우: 다음 Gentoo Linux Security Announcement GLSA 200507-18을 참조하여 MediaWiki의 가장 최신 버전(1.4.7 혹은 이후)을 구하여 업그레이드 하여야 한다: http://www.gentoo.org/security/en/glsa/glsa-200507-18.xml 관련 URL CVE-2005-2215 (CVE) 관련 URL 14181 (SecurityFocus) 관련 URL 21491 (ISS)