DFN-CERT-2014-0388 MediaWiki: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe und das Ausspähen von Informationen [Linux][Debian]

DFN-CERT-2014-0388 MediaWiki: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe und das Ausspähen von Informationen [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MediaWiki <= 1.19.13 Betroffene Plattformen: Debian Linux 7.4 Wheezy Debian Linux 8.0 Jessie Mehrere Schwachstellen in MediaWiki ermöglichen es einem entfernten, nicht authentifizierten Angreifer Cross-Site-Scripting-Angriffe durchzuführen oder Informationen auszuspähen. Patch: Debian Security Advisory DSA-2891 http://www.debian.org/security/2014/dsa-2891

CVE-2014-1610: Schwachstelle in MediaWiki

Eine Schwachstelle in MediaWiki kann ausgenutzt werden, wenn das Hochladen
der Dateitypen DjVu oder PDF angeschaltet ist. Dies ist in beiden Fällen
nicht die Standardeinstellung. Ein entfernter, authentifizierter Angreifer
kann durch diese Schwachstelle beliebige Befehle ausführen.

CVE-2013-6472: Schwachstelle in MediaWiki

Informationen über gelöschte Seiten können über die Log-Api, “enhanced
RecentChanges” und Beobachtungslisten weiterhin gefunden werden. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Informationen auszuspähen.

CVE-2013-6454: XSS Schwachstelle in MediaWiki

Die Überprüfung von CSS filtert keine “-o-link”-Attribute heraus. Ein
entfernter Angreifer kann diese Schwachstelle für
Cross-Site-Scripting-Angriffe (XSS) in Opera-Browsern bis Version 12
ausnutzen.

CVE-2013-6453: XSS Schwachstelle in MediaWiki

Die Überprüfung von SVG Dateien kann umgangen werden, wenn ein XML-Teil
einer SVG Datei als ungültig erkannt wird. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle für
Cross-Site-Scripting-Angriffe (XSS) ausnutzen.

CVE-2013-6452: XSS Schwachstelle in MediaWiki

Diese Schwachstelle basiert auf der Möglichkeit, dass hochgeladene SVG
Dateien externe Stylesheets referenzieren dürfen, die Javascript-Code
enthalten können. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle für Cross-Site-Scripting-Angriffe (XSS) ausnutzen.

CVE-2013-4572: Schwachstelle in MediaWiki

MediaWiki und die Erweiterung CentralNotice setzen Cache-Header bei
automatisch erstellen Benutzern nicht fehlerfrei. Dies führt dazu, dass das
Session Cookie eines Benutzers zwischengespeichert wird und einem anderen
Benutzer geschickt wird. Einem entfernten Angreifer ermöglicht dies, eine
Sitzung eines anderen Benutzers zu übernehmen.

CVE-2013-4568: Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting

In MediaWiki werden bestimmte Ausdrücke, die nicht ASCII-Zeichen enthalten,
nicht fehlerfrei gefiltert. Dies ermöglicht einem entfernten Angreifer einen
Cross-Site-Scripting-Angriff durchzuführen.

CVE-2013-4567: Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting

In MediaWiki können durch den Einsatz eines vertikalen Tabulators Filter in
allen Browsern umgangen werden. Dies ermöglicht einem entfernten Angreifer
Cross-Site-Scripting-Angriffe durch das Einfügen von JavaScript in
CSS-Dateien durchzuführen.

CVE-2013-2031: XSS Schwachstelle in MediaWiki

Durch eine Schwachstelle in MediaWiki ist es in den Browsern Chrome/Firefox
möglich, die Filterung von JavaScript in SVG zu umgehen. Ein entfernter
Angreifer kann dadurch, durch die Wahl eines Encodings, das von MediaWiki
verstanden wird, schlimmstenfalls beliebige Skriptbefehle zur Ausführung
bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0388/

Schwachstelle CVE-2013-4572 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4572

Schwachstelle CVE-2013-4567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4567

Schwachstelle CVE-2013-2031 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2031

Schwachstelle CVE-2013-4568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4568

Schwachstelle CVE-2013-6472 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6472

Schwachstelle CVE-2013-6453 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6453

Schwachstelle CVE-2013-6452 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6452

Schwachstelle CVE-2013-6454 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6454

Schwachstelle CVE-2014-1610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1610

Debian Security Advisory DSA-2891:
http://www.debian.org/security/2014/dsa-2891

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben