Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (05.05.2017):
Aufgrund von Paketierungsfehlern wurde die Schwachstelle CVE-2017-0372 in
der Erweiterung ‘SyntaxHighlight’ (ehemals ‘SyntaxHighlight_GeSHi’) im
Sicherheitsupdate für Fedora 25 und 26 nicht behoben. Es stehen neue
Sicherheitsupdates im Status ‘testing’ bereit.
Version 1 (10.04.2017):
Neues Advisory
Betroffene Software:
MediaWiki < 1.23.16 MediaWiki < 1.27.2 MediaWiki < 1.28.1 Betroffene Plattformen: Red Hat Fedora 25 Red Hat Fedora 26 Mehrere Schwachstellen in MediaWiki ermöglichen einem entfernten, zumeist einfach authentisierten Angreifer verschiedene Cross-Site-Scripting- und Cross-Site-Request-Forgery-Angriffe, die Darstellung falscher Informationen, das Ausspähen von Informationen, die Eskalation von Privilegien und das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit Rechten des Webbenutzers im Kontext aller auf dem System vorhandenen MediaWiki-Instanzen. Das MediaWiki Security-Team informiert über die Schwachstellen und stellt die Versionen MediaWiki 1.28.1, 1.27.2 und 1.23.16 zur Behebung der Schwachstellen bereit. CVE-2017-0372 betrifft dabei nur eine Erweiterung von MediaWiki. Für Fedora 25 und 26 stehen mit den Paketen 'mediawiki-1.27.2-1.fc25' und 'mediawiki-1.28.1-2.fc26' Sicherheitsupdates zur Behebung der Schwachstellen im Status 'testing' bereit. Die Schwachstelle CVE-2017-0372 wird in der Referenz für Fedora 26 nicht erwähnt. Patch: Fedora Security Update FEDORA-2017-05cb6287b7 (Fedora 26, mediawiki-1.28.1-2) https://bodhi.fedoraproject.org/updates/FEDORA-2017-05cb6287b7
Patch:
Fedora Security Update FEDORA-2017-3fb95ed01f (Fedora 25,
mediawiki-1.27.2-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-3fb95ed01f
Patch:
MediaWiki 1.28.1 / 1.27.2 / 1.23.16 Security Release
https://phabricator.wikimedia.org/T140591
Patch:
Fedora Security Update FEDORA-2017-2643ef1cad (mediawiki-1.27.3-1.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2643ef1cad
Patch:
Fedora Security Update FEDORA-2017-d3aedd5dc7 (mediawiki-1.28.2-1.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d3aedd5dc7
CVE-2017-0372: Schwachstelle in MediaWiki-Erweiterung ermöglicht
Cross-Site-Scripting-Angriff
Der Parameter ‘start’, der in der SyntaxHighlight-Erweiterung an die
Python-Bibliothek ‘pygments’ übergeben wird, wird nicht hinsichtlich
Variablentyp und Inhalt geprüft. Ein entfernter, einfach authentisierter
Angreifer kann die Schwachstelle ausnutzen, um beliebige Parameter in die
Anfrage zu injizieren und dadurch einen Cross-Site-Scripting-Angriff auf
Benutzer der Erweiterung ausführen.
CVE-2017-0370: Schwachstelle in MediaWiki ermöglicht Umgehen von
Sicherheitsvorkehrungen
MediaWiki verwendet eine Blacklist (schwarze Liste), um von Benutzern
eingegebene Verlinkungen, die Spam vermuten lassen, zu blockieren. Die
meisten solcher Links werden vor dem Vergleich mit der Blacklist über die
Funktion ‘Parser::replaceUnusualEscapes’ hinsichtlich spezieller
Formatierungen und Zeichenumwandlungen zur Maskierung von Inhalten geprüft.
In Verlinkungen von Bildern ist der Einsatz solcher speziellen
Zeichenkodierungen möglich, wodurch ein entfernter, einfach authentisierter
Angreifer diese Sicherheitsvorkehrung umgehen kann.
CVE-2017-0369: Schwachstelle in MediaWiki ermöglicht Privilegieneskalation
Ein entfernter, einfach authentisierter Angreifer, der der Benutzergruppe
‘sysop’ angehört (im Wesentlichen erweiterte Benutzerrechte, allgemein als
‘administrators’ bekannte Gruppe), kann bereits gelöschte Seiten durch
Reversion einzelner Revisionen wiederherstellen, auch wenn die fragliche
Seite durch das höhere Recht ‘superprotect’ der Gruppe ‘staff’ geschützt
ist.
CVE-2017-0368: Schwachstelle in MediaWiki ermöglicht
Cross-Site-Scripting-Angriff
Systemnachrichten in MediaWiki können Parameter aus nicht vertrauenswürdigen
Quellen verwenden. In Installationen, die den Raw-HTML-Modus verwenden
(‘$wgRawHtml = true;’ in ‘LocalSettings.php’), kann ein entfernter, nicht
authentisierter Angreifer die Schwachstelle beispielsweise durch Angabe
speziell präparierter HTML-Tags in URL-Parametern für einen
Cross-Site-Scripting-Angriff ausnutzen.
CVE-2017-0367: Schwachstelle in MediaWiki ermöglicht Ausführung beliebigen
Programmcodes
Das Verzeichnis ‘LocalisationCache’ von MediaWiki wird standardmäßig im
‘/tmp’-Verzeichnis erstellt. Werden auf einem System verschiedene
MediaWiki-Installationen betrieben, verwenden diese denselben
‘LocalisationCache’. Die darin erstellten Dateien werden ohne einen
Identifikator, der die jeweilige Installation repräsentiert, generiert. Ein
Angreifer kann diese Schwachstelle ausnutzen und speziell präparierte
Dateien im Verzeichnis hinterlegen. Da diese mit der Funktion ‘unserialize’
ausgeführt werden, kann die Schwachstelle zur Ausführung beliebigen
Programmcodes mit Benutzerrechten ausgenutzt werden. Ein lokaler, nicht
authentisierter Angreifer kann beliebigen Programmcode mit Benutzerrechten
zur Ausführung bringen.
CVE-2017-0366: Schwachstelle in MediaWiki ermöglicht
Cross-Site-Scripting-Angriff
In MediaWiki besteht bei der Verarbeitung von SVG-Grafikdateien eine
Schwachstelle, die es ermöglicht während der Dokumenttyp-Deklaration (DTD)
bestimmte Filter zu umgehen. Ein entfernter, nicht authentisierter Angreifer
kann durch die erfolgreiche Ausnutzung der Schwachstelle einen
Cross-Site-Scripting-Angriff durchführen.
CVE-2017-0365: Schwachstelle in MediaWiki ermöglicht
Cross-Site-Scripting-Angriff
In der Funktion ‘SearchHighlighter::removeWiki’ in MediaWiki besteht eine
Schwachstelle, wenn die optionale Funktion
‘SearchHighlighter::highlightText’ zum Hervorheben von Texten verwendet
wird. Ein entfernter, nicht authentisierter Angreifer kann durch das
Ausnutzen der Schwachstelle einen Cross-Site-Scripting-Angriff durchführen.
CVE-2017-0364: Schwachstelle in MediaWiki ermöglicht Darstellung falscher
Informationen
Eine nicht näher beschriebene Schwachstelle in ‘Special:Search’ in MediaWiki
ermöglicht es einem entfernten, nicht authentisierten Angreifer mit Hilfe
präparierter Links Open-Redirect-Angriffe gegen Benutzer des Systems
durchzuführen.
CVE-2017-0363: Schwachstelle in MediaWiki ermöglicht Ausspähen von
Informationen
In ‘Special:UserLogin’ in MediaWiki besteht eine Schwachstelle, die eine
Weiterleitung auf ‘Interwiki’-Seiten ermöglicht. Präpariert ein Angreifer
einen Link so, dass sich ein Benutzer nach dem Anklicken zuerst
authentisieren muss, kann dies zur Offenlegung der Login-Informationen
führen, wenn der Webserver, auf den die Weiterleitung zielt, mit dem
HTTP-Statuscode 307 anstelle der HTTP-Statuscodes 302 oder 303 antwortet.
Ein entfernter, nicht authentisierter Angreifer kann dadurch Informationen
ausspähen.
CVE-2017-0362: Schwachstelle in MediaWiki ermöglicht
Cross-Site-Request-Forgery-Angriff
In MediaWiki besteht aufgrund des unzureichenden Schutzes vor
Cross-Site-Request-Forgery-Angriffen ein Schwachstelle. Diese ermöglicht es
einem entfernten, nicht authentisierten Angreifer, die ‘Watchlist’ eines
Benutzers zu manipulieren und alle Einträge auf ‘visited’ zu setzen, wenn es
ihm gelingt den Benutzer auf eine externe und vom Angreifer kontrollierte
Webseite zu locken. Dadurch ist es für den Benutzer schwieriger, Änderungen
an von ihm überwachten Seiten nachzuverfolgen und möglichen Vandalismus zu
erkennen.
CVE-2017-0361: Schwachstelle in MediaWiki ermöglicht Ausspähen von
Informationen
In der Log-Datei ‘api.log’ in MediaWiki werden Passwörter im Klartext
abgespeichert. Ein entfernter, einfach authentisierter Angreifer, der über
ausreichend Privilegien zum Lesen von Log-Dateien verfügt, kann die
Schwachstelle ausnutzen, um die Passwörter von Benutzern auszuspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0616/
Fedora Security Update FEDORA-2017-05cb6287b7 (Fedora 26, mediawiki-1.28.1-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-05cb6287b7
Fedora Security Update FEDORA-2017-3fb95ed01f (Fedora 25, mediawiki-1.27.2-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-3fb95ed01f
MediaWiki 1.28.1 / 1.27.2 / 1.23.16 Security Release:
https://phabricator.wikimedia.org/T140591
Schwachstelle CVE-2017-0361 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0361
Schwachstelle CVE-2017-0362 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0362
Schwachstelle CVE-2017-0363 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0363
Schwachstelle CVE-2017-0364 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0364
Schwachstelle CVE-2017-0365 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0365
Schwachstelle CVE-2017-0366 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0366
Schwachstelle CVE-2017-0367 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0367
Schwachstelle CVE-2017-0368 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0368
Schwachstelle CVE-2017-0369 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0369
Schwachstelle CVE-2017-0370 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0370
Schwachstelle CVE-2017-0372 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0372
[MediaWiki-announce] Security Release: 1.28.1 / 1.27.2 / 1.23.16:
https://lists.wikimedia.org/pipermail/mediawiki-announce/2017-April/000207.html
Fedora Security Update FEDORA-2017-2643ef1cad (mediawiki-1.27.3-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2643ef1cad
Fedora Security Update FEDORA-2017-d3aedd5dc7 (mediawiki-1.28.2-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d3aedd5dc7
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
