Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (03.01.22):
Für Fedora 35 steht ein Sicherheitsupdate in Form des Pakets
‘mediawiki-1.36.3-1.fc35’ im Status ‘testing’ bereit. Fedora verweist hier
auf die MediaWiki 1.36.3 Release Notes, während die im Sicherheitshinweis
aufgeführten Schwachstellen nur MediaWiki-Erweiterungen betreffen. Diese
werden nicht als Teil des Pakets ausgeliefert.
Version 1 (16.12.21):
Neues Advisory

Ein Angreifer, der in der Hälfte der Fälle über niedrige Privilegien
verfügen muss, kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen
zu umgehen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.

Eine Schwachstelle erfordert die Interaktion eines Benutzers und kann
Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die referenzierten Schwachstellen und eine
weitere Schwachstelle in einer Erweiterung und stellt zu deren Behebung die
Versionen 1.35.5, 1.36.3 und 1.37.1 bereit.

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ‘mediawiki’ in
Version 1:1.27.7-1+deb9u11 bereit, um die Schwachstelle CVE-2021-44858 zu
beheben. Für Debian 10 Buster (oldstable) steht die Version
1:1.31.16-1+deb10u2 und für Debian 11 Bullseye (stable) die Version
1:1.35.4-1+deb11u2 von ‘mediawiki’ als Sicherheitsupdate zur Verfügung, um
die Schwachstellen CVE-2021-44857, CVE-2021-44858 und CVE-2021-45038 zu
beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-2627]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html