UTC 기준으로 2019년 6월 6일과 7일에 유지보수를 지원 중인 미디어위키 버전의 마이너 업그레이드 버전이 공개되었습니다. 미디어위키는 6일에 미디어위키 1.27.6 / 1.30.2 / 1.31.2 / 1.32.2를 공개하고 다음날에 전날 공개한 1.27.6 버전의 두 가지 버그를 해결한 1,27.7를 공개하였습니다.
6일에 이루어진 업그레이드 버저 공개는 11개의 보안 취약점을 해결하는데 중점을 두었습니다. 해당 보안 이슈에 대한 요약은 아래와 같습니다.
수정된 보안 문제
== 보안 수정 ==
* (T197279, CVE-2019-12468)
Special:ChangeEmail 페이지는 잠재적인 계정 인계를 허용하여 재인증을 우회합니다.
* (T204729, CVE-2019-12473)
잘못된 제목을 API에 전달하면 `watchlist` 테이블 전체에 질의하여 DoS를 야기합니다.
* (T207603, CVE-2019-12471)
존재하지 않는 계정에서 사용자 JavaScript를로드하면 누구나 계정을 만들 수 있으며 사용자가 해당 스크립트를 로드하는 XSS가 가능합니다.
* (T208881)
blacklist CSS var ().
* (T199540, CVE-2019-12472)
API를 사용하여 IP 범위 블록 (`$ wgBlockCIDRLimit`)에 대한 제한을 무시할 수 있습니다.
* (T212118, CVE-2019-12474)
최근 변경 사항을 패트롤했는지 여부를 포함하는 권한있는 API 응답은 공개적으로 캐시 될 수 있습니다.
* (T209794, CVE-2019-12467)
스팸 발송자가 Special : ChangeEmail 페이지를 사용하여 속도 제한이나 차단 기능 없이 스팸을 보낼 수 있습니다.
* (T25227, CVE-2019-12466)
토큰의 사용 없이 계정을 로그 아웃 할 수 있습니다. (CSRF).
* (T222036, CVE-2019-12469)
특수:EditTags 페이지는 하드 코딩된 사용자 이름으로 인해 (로그) 링크의 억제된(숨겨진) 사용자 이름을 노출시킵니다.
또한 수동으로 logid를 설정하면 숨겨진 로그가 노출됩니다.
* (T222038, CVE-2019-12470)
RevisionDelete 페이지에서 숨겨진 로그를 노출합니다.
* (T221739, CVE-2019-11358)
jQuery에서 잠재적인 XSS를 야기합니다.
== 언급된 모든 작업에 대한 링크 ==
* https://phabricator.wikimedia.org/T197279
* https://phabricator.wikimedia.org/T204729
* https://phabricator.wikimedia.org/T207603
* https://phabricator.wikimedia.org/T208881
* https://phabricator.wikimedia.org/T199540
* https://phabricator.wikimedia.org/T212118
* https://phabricator.wikimedia.org/T209794
* https://phabricator.wikimedia.org/T222036
* https://phabricator.wikimedia.org/T222038
* https://phabricator.wikimedia.org/T221739
* https://phabricator.wikimedia.org/T25227
== 1.27.7 수정 사항 ==
* LogEventsList.php 파일에서 필요한 use statement를 빠뜨려 추가했습니다.
*ApiBlockTest에 추가되었던 몇 가지 깨진 테스트를 제거하였습니다.
릴리즈 노트(Release notes)
릴리즈 노트(Release notes)는 아래 링크를 참고하시기 바랍니다.
== Release notes ==
Full release notes for 1.27.6 / 1.27.7:
https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_27/RELEASE-NOTES-1.27
https://www.mediawiki.org/wiki/Release_notes/1.27
Full release notes for 1.30.2:
https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_30/RELEASE-NOTES-1.30
https://www.mediawiki.org/wiki/Release_notes/1.30
Full release notes for 1.31.2:
https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_31/RELEASE-NOTES-1.31
https://www.mediawiki.org/wiki/Release_notes/1.31
Full release notes for 1.32.2:
https://phabricator.wikimedia.org/diffusion/MW/browse/REL1_29/RELEASE-NOTES-1.32
https://www.mediawiki.org/wiki/Release_notes/1.32
버전별 미디어위키 다운로드
필요한 미디어위키 버전의 최신 업그레이드 파일은 아래 링크를 참고하시기 바랍니다.
미디어위키(Mediawiki) 1.27.6
Download:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.tar.gz
Download without bundled extensions:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.6.tar.gz
Patch to previous version (1.27.5):
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.patch.gz
GPG signatures:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.6.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.6.patch.gz.sig
Public keys:
https://www.mediawiki.org/keys/keys.html
미디어위키(Mediawiki) 1.27.7
Download:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.7.tar.gz
Download without bundled extensions:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.7.tar.gz
Patch to previous version (1.27.6):
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.7.patch.gz
GPG signatures:
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-core-1.27.7.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.7.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.27/mediawiki-1.27.7.patch.gz.sig
Public keys:
https://www.mediawiki.org/keys/keys.html
미디어위키(Mediawiki) 1.30.2
Download:
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.tar.gz
Download without bundled extensions:
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-core-1.30.2.tar.gz
Patch to previous version (1.30.1):
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.patch.gz
GPG signatures:
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-core-1.30.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.30/mediawiki-1.30.2.patch.gz.sig
Public keys:
https://www.mediawiki.org/keys/keys.html
미디어위키(Mediawiki) 1.31.2
Download:
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.tar.gz
Download without bundled extensions:
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-core-1.31.2.tar.gz
Patch to previous version (1.31.1):
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.patch.gz
GPG signatures:
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-core-1.31.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.31/mediawiki-1.31.2.patch.gz.sig
Public keys:
https://www.mediawiki.org/keys/keys.html
미디어위키(Mediawiki) 1.32.2
Download:
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.tar.gz
Download without bundled extensions:
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-core-1.32.2.tar.gz
Patch to previous version (1.32.1):
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.patch.gz
GPG signatures:
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-core-1.32.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.32/mediawiki-1.32.2.patch.gz.sig
Public keys:
https://www.mediawiki.org/keys/keys.html
미디어위키(Mediawiki) 1.33.2
Download:
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.tar.gz
Download without bundled extensions:
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-core-1.33.2.tar.gz
Patch to previous version (1.33.1):
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.patch.gz
GPG signatures:
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-core-1.33.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.tar.gz.sig
https://releases.wikimedia.org/mediawiki/1.33/mediawiki-1.33.2.patch.gz.sig
Public keys:
https://www.mediawiki.org/keys/keys.html
미디어위키 버전별 지원 수명 안내
이번에 유지보수 지원을 종료하는 버전은 다음과 같습니다.
미디어위키 1.27
미디어위키 1.27의 유지보수 기간은 2019년 6월까집입니다. 따라서 이번에 공개된 1.27.7이 마지막 보안 및 유지보수 릴리즈 판입니다. 이후의 업그레이드는 없습니다. 따라서 1.31 이상으로 업그레이드할 것을 강력히 권고합니다.
미디어위키 1.30
미디어위키 1.30의 유지보수 기간은 2018년 12월로 종료되었습니다. 따라서 이번에 공개된 1.30.2가 마지막 보안 및 유지보수 릴리즈 판입니다. 이후의 업그레이드는 없습니다. 따라서 1.31 이상으로 업그레이드할 것을 강력히 권고합니다.
각 버전별 미디어위키의 지원 수명은 아래 안내를 참고하시기 바랍니다.
업그레이드 방법에 대하여
제가 현재 연재 기반이 되는 미디어위키 1.31의 마이너 업그레이드 방법은 다음 글에 간략하게 적도록 하겠습니다.
참고로 미디어위키 메이저 업그레이드에 대한 자세한 내용은 아래 링크를 참고 하시기 바랍니다.
'미디어위키 > 미디어위키 설치 및 관리' 카테고리의 다른 글
| 미디어위키(Mediawiki) 1.31.3 과 1.32.3 공개 (0) | 2019.07.23 |
|---|---|
| 미디어위키(Mediawiki) 배포 스킨 다운로드 및 설치 방법 (0) | 2019.07.21 |
| 미디어위키(Mediawiki)의 스킨(skin)과 익스텐션(extension)에 대하여 (0) | 2019.06.14 |
| 미디어위키(Mediawiki) 1.31.1에서 1.31.2로 마이너 업그레이드 (0) | 2019.06.12 |
| PHP 7.3 환경에서 미디어위키(Mediawiki) 1.31.1 LTS 설치하기 - XAMPP 7.3.4 (2) | 2019.05.26 |
| 미디어위키(Mediawiki) 1.32.1 공개 (0) | 2019.05.05 |
| XAMPP, 미디어위키 익스텐션 연재 안내 (0) | 2019.04.17 |
| 미디어위키(Mediawiki) 파일 업로드 04(이미지 업로드 설정) (0) | 2019.04.13 |