<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html><head><meta content="text/html; charset=utf-8" http-equiv="Content-Type"></head><br><br><div style='font-size:10.0pt;font-family:"Tahoma","sans-serif";padding:3.0pt 0in 0in 0in'>
<hr style='border:none;border-top:solid #E1E1E1 1.0pt'>
<b>From:</b> Chad <innocentkiller@gmail.com><br>
<b>Sent:</b> May 20, 2016 1:05:43 PM EDT<br>
<b>To:</b> "mediawiki-announce@lists.wikimedia.org" <mediawiki-announce@lists.wikimedia.org><br>
<b>Subject:</b> [MediaWiki-announce] Security Release: 1.26.3, 1.25.6, and 1.23.14<br>
</div>
<br>
<pre class="k9mail">I would like to announce the release of MediaWiki 1.26.3, 1.25.6 and<br />1.23.14.<br /><br />These releases fix sixteen security issues in core, one issue in the bundled<br />extension SyntaxHighlight_GeSHi and one issue in the non-bundled<br />extension Scribunto.<br />Download links are given at the end of this email.<br /><br />== Security fixes ==<br /><br />* T122056: Old tokens are remaining valid within a new session<br />* T127114: Login throttle can be tricked using non-canonicalized usernames<br />* T123653: Cross-domain policy regexp is too narrow<br />* T123071: Incorrectly identifying http link in a's href attributes, due to<br />m modifier in regex<br />* T129506: MediaWiki:Gadget-popups.js isn't renderable<br />* T125283: Users occasionally logged in as different users after<br />SessionManager deployment<br />* T103239: Patrol allows click catching and patrolling of any page<br />* T122807: [tracking] Check php crypto primatives<br />* T98313:
Graphs can leak tokens, leading to CSRF<br />* T130947: Diff generation should use PoolCounter<br />* T133507: Careless use of $wgExternalLinkTarget is insecure<br />* T132874: API action=move is not rate limited<br /><br />This fix affects both core and SyntaxHighlight_GeSHi:<br />* T110143: strip markers can be used to get around html attribute escaping<br />in (many?) parser tags<br /><br />These two fixes are not applicable to 1.23.14 as the 1.23 branch does not<br />contain pbkdf2 support.<br />* T116030: Increase pbkdf2 parameter strengths<br />* T127420: Pbkdf2Password does not check if hash_pbkdf2() succeeded<br /><br />This fix is already in master and the 1.27 release branch, and is just being<br />backported to 1.23 and 1.25:<br />* T126685: Globally throttle password attempts<br /><br />== Links to all mentioned tasks ==<br /><a href="https://phabricator.wikimedia.org/T122056">https://phabricator.wikimedia.org/T122056</a><br /><a
href="https://phabricator.wikimedia.org/T127114">https://phabricator.wikimedia.org/T127114</a><br /><a href="https://phabricator.wikimedia.org/T123653">https://phabricator.wikimedia.org/T123653</a><br /><a href="https://phabricator.wikimedia.org/T123071">https://phabricator.wikimedia.org/T123071</a><br /><a href="https://phabricator.wikimedia.org/T129506">https://phabricator.wikimedia.org/T129506</a><br /><a href="https://phabricator.wikimedia.org/T125283">https://phabricator.wikimedia.org/T125283</a><br /><a href="https://phabricator.wikimedia.org/T103239">https://phabricator.wikimedia.org/T103239</a><br /><a href="https://phabricator.wikimedia.org/T122807">https://phabricator.wikimedia.org/T122807</a><br /><a href="https://phabricator.wikimedia.org/T98313">https://phabricator.wikimedia.org/T98313</a><br /><a href="https://phabricator.wikimedia.org/T130947">https://phabricator.wikimedia.org/T130947</a><br /><a
href="https://phabricator.wikimedia.org/T133507">https://phabricator.wikimedia.org/T133507</a><br /><a href="https://phabricator.wikimedia.org/T132874">https://phabricator.wikimedia.org/T132874</a><br /><a href="https://phabricator.wikimedia.org/T110143">https://phabricator.wikimedia.org/T110143</a><br /><a href="https://phabricator.wikimedia.org/T116030">https://phabricator.wikimedia.org/T116030</a><br /><a href="https://phabricator.wikimedia.org/T127420">https://phabricator.wikimedia.org/T127420</a><br /><a href="https://phabricator.wikimedia.org/T126685">https://phabricator.wikimedia.org/T126685</a><br /><br />== Release notes ==<br /><br />Full release notes for 1.26.3:<br /><<a href="https://www.mediawiki.org/wiki/Release_notes/1.26">https://www.mediawiki.org/wiki/Release_notes/1.26</a>><br /><br />Full release notes for 1.25.6:<br /><<a href="https://www.mediawiki.org/wiki/Release_notes/1.25">https://www.mediawiki.org/wiki/Release_notes/1.25</a>><br /><br />Full
release notes for 1.23.14:<br /><<a href="https://www.mediawiki.org/wiki/Release_notes/1.23">https://www.mediawiki.org/wiki/Release_notes/1.23</a>><br /><br />For information about how to upgrade, see<br /><<a href="https://www.mediawiki.org/wiki/Manual:Upgrading">https://www.mediawiki.org/wiki/Manual:Upgrading</a>><br /><br />**********************************************************************<br />   1.26.3<br />**********************************************************************<br />Download:<br /><a href="https://releases.wikimedia.org/mediawiki/1.26/mediawiki-1.26.3.tar.gz">https://releases.wikimedia.org/mediawiki/1.26/mediawiki-1.26.3.tar.gz</a><br /><a href="https://releases.wikimedia.org/mediawiki/1.26/mediawiki-core-1.26.3.tar.gz">https://releases.wikimedia.org/mediawiki/1.26/mediawiki-core-1.26.3.tar.gz</a><br /><br />Patch to previous version:<br /><a
href="https://releases.wikimedia.org/mediawiki/1.26/mediawiki-1.26.3.patch.gz">https://releases.wikimedia.org/mediawiki/1.26/mediawiki-1.26.3.patch.gz</a><br /><br />GPG signatures:<br /><a href="https://releases.wikimedia.org/mediawiki/1.26/mediawiki-1.26.3.tar.gz.sig">https://releases.wikimedia.org/mediawiki/1.26/mediawiki-1.26.3.tar.gz.sig</a><br /><a href="https://releases.wikimedia.org/mediawiki/1.26/mediawiki-1.26.3.patch.gz.sig">https://releases.wikimedia.org/mediawiki/1.26/mediawiki-1.26.3.patch.gz.sig</a><br /><a href="https://releases.wikimedia.org/mediawiki/1.26/mediawiki-core-1.26.3.tar.gz.sig">https://releases.wikimedia.org/mediawiki/1.26/mediawiki-core-1.26.3.tar.gz.sig</a><br /><br />Public keys:<br /><a href="https://www.mediawiki.org/keys/keys.html">https://www.mediawiki.org/keys/keys.html</a><br /><br />**********************************************************************<br />   1.25.6<br />**********************************************************************<br
/>Download:<br /><a href="https://releases.wikimedia.org/mediawiki/1.25/mediawiki-1.25.6.tar.gz">https://releases.wikimedia.org/mediawiki/1.25/mediawiki-1.25.6.tar.gz</a><br /><a href="https://releases.wikimedia.org/mediawiki/1.25/mediawiki-core-1.25.6.tar.gz">https://releases.wikimedia.org/mediawiki/1.25/mediawiki-core-1.25.6.tar.gz</a><br /><br />Patch to previous version:<br /><a href="https://releases.wikimedia.org/mediawiki/1.25/mediawiki-1.25.6.patch.gz">https://releases.wikimedia.org/mediawiki/1.25/mediawiki-1.25.6.patch.gz</a><br /><br />GPG signatures:<br /><a href="https://releases.wikimedia.org/mediawiki/1.25/mediawiki-1.25.6.tar.gz.sig">https://releases.wikimedia.org/mediawiki/1.25/mediawiki-1.25.6.tar.gz.sig</a><br /><a href="https://releases.wikimedia.org/mediawiki/1.25/mediawiki-1.25.6.patch.gz.sig">https://releases.wikimedia.org/mediawiki/1.25/mediawiki-1.25.6.patch.gz.sig</a><br /><a
href="https://releases.wikimedia.org/mediawiki/1.25/mediawiki-core-1.25.6.tar.gz.sig">https://releases.wikimedia.org/mediawiki/1.25/mediawiki-core-1.25.6.tar.gz.sig</a><br /><br />Public keys:<br /><a href="https://www.mediawiki.org/keys/keys.html">https://www.mediawiki.org/keys/keys.html</a><br /><br />**********************************************************************<br />   1.23.14<br />**********************************************************************<br />Download:<br /><a href="https://releases.wikimedia.org/mediawiki/1.23/mediawiki-1.23.14.tar.gz">https://releases.wikimedia.org/mediawiki/1.23/mediawiki-1.23.14.tar.gz</a><br /><a href="https://releases.wikimedia.org/mediawiki/1.23/mediawiki-core-1.23.14.tar.gz">https://releases.wikimedia.org/mediawiki/1.23/mediawiki-core-1.23.14.tar.gz</a><br /><br />Patch to previous version:<br /><a
href="https://releases.wikimedia.org/mediawiki/1.23/mediawiki-1.23.14.patch.gz">https://releases.wikimedia.org/mediawiki/1.23/mediawiki-1.23.14.patch.gz</a><br /><br />GPG signatures:<br /><a href="https://releases.wikimedia.org/mediawiki/1.23/mediawiki-1.23.14.tar.gz.sig">https://releases.wikimedia.org/mediawiki/1.23/mediawiki-1.23.14.tar.gz.sig</a><br /><a href="https://releases.wikimedia.org/mediawiki/1.23/mediawiki-1.23.14.patch.gz.sig">https://releases.wikimedia.org/mediawiki/1.23/mediawiki-1.23.14.patch.gz.sig</a><br /><a href="https://releases.wikimedia.org/mediawiki/1.23/mediawiki-core-1.23.14.tar.gz.sig">https://releases.wikimedia.org/mediawiki/1.23/mediawiki-core-1.23.14.tar.gz.sig</a><br /><br />Public keys:<br /><a href="https://www.mediawiki.org/keys/keys.html">https://www.mediawiki.org/keys/keys.html</a><br /><br />-Chad H. & Chris S.<br /><hr /><br />MediaWiki announcements mailing list<br />To unsubscribe, go to:<br /><a
href="https://lists.wikimedia.org/mailman/listinfo/mediawiki-announce">https://lists.wikimedia.org/mailman/listinfo/mediawiki-announce</a><br /></pre><br>
-- <br>
Sent from my Android device with K-9 Mail. Please excuse my brevity.</html>