DFN-CERT-2014-0321 MediaWiki: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe und das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2014-0321 MediaWiki: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe und das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MediaWiki <= 1.19.12 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen in MediaWiki ermöglichen einem entfernten, nicht authentifizierten Angreifer die Durchführung von Cross-Site-Scripting-Angriffen oder Sicherheitsvorkehrungen zu umgehen. Patch: Fedora Update FEDORA-EPEL-2014-0846 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0846/mediawiki119-1.19.13-1.el6

CVE-2014-2244: MediaWiki: Schwachstelle ermöglicht Cross-Site-Scripting

In MediaWiki wird in der Funktion formatHTML() in der Datei
‘includes/api/ApiFormatBase.php’ der Text-Parameter, welcher an ‘api.php’
übergeben wurde, nicht hinreichend gefiltert. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer beliebige HTML- oder
Script-Befehle im Kontext eines anderen Benutzers zur Ausführung zu bringen.

CVE-2014-2243: MediaWiki: Schwachstelle erleichtert Brute-Force-Angriffe

MediaWiki beendet in der Datei ‘includes/User.php’ die Validierung eines
Benutzer-Tokens beim ersten nicht korrekten Zeichen. Dies erleichtert einem
entfernten, nicht authentifizierten Angreifer durch das Messen der
zeitlichen Unterschiede von zurückgeschickten Antworten gültige Tokens zu
ermitteln und somit Zugang zum System zu erhalten.

CVE-2014-2242: MediaWiki: Schwachstelle ermöglicht Cross-Site-Scripting

In MediaWiki wird in der Datei ‘includes/upload/UploadBase.php’ die
Verwendung von ungültigen Namensräumen in SVG-Grafiken nicht unterbunden.
Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer
Cross-Site-Scripting-Angriffe durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0321/

Schwachstelle CVE-2014-2243 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2243

Schwachstelle CVE-2014-2242 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2242

Schwachstelle CVE-2014-2244 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2244

Fedora Update FEDORA-EPEL-2014-0846:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0846/mediawiki119-1.19.13-1.el6

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben