[Fedora] Mehrere Schwachstellen in Mediawiki – FEDORA-2010-10848

[Fedora] Mehrere Schwachstellen in Mediawiki - FEDORA-2010-10848

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-1647 – Cross-site Scripting Schwachstellen in MediaWiki

Media Wiki ist aufgrund eines Fehlers bei de Verarbeitung von
Cascading Stylesheets anfaellig fuer Cross-site Scripting Angriffe.
Grund hierfuer ist eine unzureichende Ausnahmebehandlung unzulaessiger
Inhalte in CSS-Dateien, welche dazu fuehrt dass diese als
Script-Befehle im Microsoft Internet Explorer ausgefuehrt werden. Ein
Angreifer kann diese Schwachstelle verwenden um beliebige Befehle im
Browser fremder Benutzer auszufuehren.

CVE-2010-1648 – Cross-site Request Forgery Schwachstelle in MediaWiki

MediaWiki enthaelt eine Schwachstelle im Login-Interface, die sich fuer
Cross-site Request Forgery Angriffe verwenden laesst. Diese
Schwachstelle beruht auf einem Fehler bei der Benutzerauthentifikation
durch das ‘Special:Userlogin’-Formular. Ein Angreifer kann mit Hilfe
dieser Schwachstelle neue Benutzer-Accounts anlegen oder Passworte
bestehender Accounts zuruecksetzen, indem er einen anderen Benutzer
dazu bringt, einen speziell vorbereiteten Link auf eine betroffene
MediaWiki Installation zu oeffnen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket mediawiki

Fedora 13
Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-10848
2010-07-06 16:25:31
– ——————————————————————————–

Name : mediawiki
Product : Fedora 12
Version : 1.15.4
Release : 54.fc12
URL : http://www.mediawiki.org/
Summary : A wiki engine
Description :
MediaWiki is the software used for Wikipedia and the other Wikimedia
Foundation websites. Compared to other wikis, it has an excellent
range of features and support for high-traffic websites using multiple
servers

This package supports wiki farms. Copy /var/www/wiki over to the
desired wiki location and configure it through the web
interface. Remember to remove the config dir after completing the
configuration.

– ——————————————————————————–
Update Information:

This update fixes two vulnerabilities in mediawiki CVE-2010-1647 Cross-site
scripting (XSS) vulnerability in MediaWiki 1.15 before 1.15.4 and 1.16 before
1.16 beta 3 allows remote attackers to inject arbitrary web script or HTML via
crafted Cascading Style Sheets (CSS) strings that are processed as script by
Internet Explorer. CVE-2010-1648 Cross-site request forgery (CSRF)
vulnerability in the login interface in MediaWiki 1.15 before 1.15.4 and 1.16
before 1.16 beta 3 allows remote attackers to hijack the authentication of users
for requests that (1) create accounts or (2) reset passwords, related to the
Special:Userlogin form. There is also a minor bug fixed which prevented the
use of mediawiki w/o php.
– ——————————————————————————–
ChangeLog:

* Mon Jul 5 2010 Axel Thimm – 1.15.4-54
– – Update to 1.5.14 (Fixes CVE-2010-1647 CVE-2010-1648).
– – Change BR php to php-common (RH bug #549822).
– ——————————————————————————–
References:

[ 1 ] Bug #601881 – CVE-2010-1647 CVE-2010-1648 mediawiki: multiple vulnerabilities fixed in 1.15.4/1.16b3
https://bugzilla.redhat.com/show_bug.cgi?id=601881
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update mediawiki’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkw0ZQ8ACgkQWmhIvjFb90VA9gCdFvNp85AHhXNy39ke+FSA3jj9
nTUAniO4pnfhag04tIv+CM45Xwt11bk6
=lJIG
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben