关键信息 更新版本: - MediaWiki 1.15.4 - MediaWiki 1.16 beta 3 漏洞类型: - XSS漏洞 - CSRF漏洞 XSS漏洞: - 发现者:Kuriaki Takashi - 影响范围:仅影响Internet Explorer客户端,尤其是IE 6和IE 8 - 原因:Internet Explorer的非标准CSS解析行为导致攻击者可以构造看似安全的CSS字符串,这些字符串在以前版本的MediaWiki中被认为是安全的,但在Internet Explorer中被解码为不安全的字符串 - 详情链接:Bugzilla 23687 CSRF漏洞: - 登录接口中发现 - 虽然1.15.3版中的常规登录受到保护,但发现账户创建和密码重置功能未受CSRF保护 - 可能导致未经授权访问私有wiki - 详情链接:Bugzilla 23371 建议措施:所有用户建议升级 其他信息: - 包含针对Intranet安装的防火墙的XSS和CSRF攻击能力,只要攻击者可以猜测URL - MediaWiki 1.16 beta 3还包含许多针对1.16 beta 2的有用错误修复,预计在未来一到两周内发布1.16分支的稳定版本 - 全部发布说明和下载链接:1.15.4 Release Notes 和 1.16 beta 3 Release Notes