MediaWiki 'IP'参数远程文件包含漏洞

2009-09-04T00:00:00
ID SSV:12200
Type seebug
Reporter Root
Modified 2009-09-04T00:00:00

Description

BUGTRAQ: 9057

MediaWiki没有充分过滤用户提交的URI参数,远程攻击者可以利用这个漏洞包含远程服务器上的恶意文件,以WEB权限执行任意代码。 问题应该是对MediaWiki的'IP'参数缺少充分过滤,包含文件可被攻击者任意指令,如果指定远程服务器的恶意PHP文件,可导致以WEB进程权限执行。

MediaWiki-stable 20030829/20031107 临时解决方法: 如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁: * 修改php.ini配置文件,关闭'allow_url_fopen'和'register_globals'选项。

厂商补丁: MediaWiki


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: MediaWiki APAR MediaWiki-20031117 http://prdownloads.sourceforge.n ... 117.tar.gz?download