—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-1189 – Schwachstelle in MediaWiki vor 1.15.2
In MediaWiki vor Version 1.15.2 ist es moeglich, in Wiki-Seiten Links
zu externen Bildern anzulegen, auch wenn dies in der Konfiguration
nicht erlaubt ist. Auf diese Weise ist es einem Angreifer moeglich, die
IP-Adresse und weitere Informationen von Besuchern der entsprechenden
Wiki-Seite zu erhalten.
CVE-2010-1190 – Umgehung von Zugriffsbeschraenkungen in MediaWiki vor
1.15.2
Die Routinen zur Erzeugung von Vorschaubildern in thumb.php von
MediaWiki vor 1.15.2 pruefen die Benutzerrechte nicht, bevor skalierte
Versionen von Bildern angezeigt werden. Soll der Zugriff durch
Mechanismen wie img_auth.php beschraenkt sein, ermoeglicht dies einem
entfernten Angreifer die Umgehung der Zugriffsbeschraenkungen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket mediawiki
Fedora 12
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —
Michael Groening (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-6335
2010-04-10 08:52:09
– ——————————————————————————–
Name : mediawiki
Product : Fedora 12
Version : 1.15.3
Release : 53.fc12
URL : http://www.mediawiki.org/
Summary : A wiki engine
Description :
MediaWiki is the software used for Wikipedia and the other Wikimedia
Foundation websites. Compared to other wikis, it has an excellent
range of features and support for high-traffic websites using multiple
servers
This package supports wiki farms. Copy /var/www/wiki over to the
desired wiki location and configure it through the web
interface. Remember to remove the config dir after completing the
configuration.
– ——————————————————————————–
Update Information:
This is a security and bugfix release of MediaWiki 1.15.3. Three security
issues are fixed in this update: A CSS validation issue was discovered which
allows editors to display external images in wiki pages. A data leakage
vulnerability was discovered in thumb.php which affects wikis which restrict
access to private files using img_auth.php, or some similar scheme. MediaWiki
was found to be vulnerable to login CSRF. The upstrea authors recommend that all
public wikis should be upgraded if possible. The fix includes a breaking change
to the API login action. Any clients using it will need to be updated.
– ——————————————————————————–
ChangeLog:
* Wed Apr 7 2010 Axel Thimm
– – Update to 1.15.3 (Fixes login CSRF vulnerability).
* Wed Mar 31 2010 Axel Thimm
– – Update to 1.15.2 (Fixes CSS validation issue and data leakage
vulnerability).
– ——————————————————————————–
References:
[ 1 ] Bug #571926 – CVE-2010-1189 CVE-2010-1190 MediaWiki: Two security fixes in v1.15.2
https://bugzilla.redhat.com/show_bug.cgi?id=571926
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update mediawiki’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkw0XHkACgkQWmhIvjFb90WaGgCfU2do6XIuMBI49NKn+QG+Lt02
vEEAn01TbzrtBQidGf3xpSGh3TAzNPQq
=mhWJ
—–END PGP SIGNATURE—–
