
CCing <a href="mailto:security@wikimedia.org">security@wikimedia.org</a><br><br><div class="gmail_quote">On Mon, Jul 15, 2013 at 1:27 PM, Philippe Teuwen <span dir="ltr"><<a href="mailto:phil@teuwen.org" target="_blank">phil@teuwen.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 07/15/2013 01:00 PM, Henri Salo wrote:<br>

> On Mon, Jul 15, 2013 at 11:41:16AM +0200, Philippe Teuwen wrote:<br>

>> Package: mediawiki<br>

>> Version: 1:1.19.5-1<br>

>> Severity: normal<br>

>> Tags: security<br>

>> X-Debbugs-CC: <a href="mailto:secure-testing-team@lists.alioth.debian.org">secure-testing-team@lists.alioth.debian.org</a><br>

>><br>

>> Default allowed extensions for file upload are only:<br>

>> $wgFileExtensions = array( 'png', 'gif', 'jpg', 'jpeg' );<br>

>><br>

>> Under Firefox & Chrome it's indeed impossible to upload a pdf file under<br>

>> those settings.<br>

>> But under IE it's possible without warning or error.<br>

>><br>

>> A quick inspection seems to indicate that the file extension is only<br>

>> checked on the client side via javascript and IE does not do a proper<br>

job.<br>

>> Note that "application/pdf" is by default in the $wgTrustedMediaFormats<br>

>> array.<br>

>><br>

>> IMHO file extension checks must also be enforced on server side, and, if<br>

>> possible, a js workaround should be provided for proper handling in IE.<br>

>> Malicious pdfs do exist...<br>

>><br>

>> Best regards<br>

>> Phil<br>

><br>

> Have you notified upstream about this issue?<br>

><br>

> ---<br>

> Henri Salo<br>

<br>

</div></div>No<br>

<div class="HOEnZb"><div class="h5">Phil<br>

<br>

_______________________________________________<br>

Pkg-mediawiki-devel mailing list<br>

<a href="mailto:Pkg-mediawiki-devel@lists.alioth.debian.org">Pkg-mediawiki-devel@lists.alioth.debian.org</a><br>

<a href="http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/pkg-mediawiki-devel" target="_blank">http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/pkg-mediawiki-devel</a><br>

</div></div></blockquote></div><br>