DFN-CERT-2013-1598 Mediawiki: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten [Linux][Debian][Fedora][RedHat][Unix]

DFN-CERT-2013-1598 Mediawiki: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten [Linux][Debian][Fedora][RedHat][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MediaWiki <= 1.19.7 MediaWiki <= 1.20.6 MediaWiki <= 1.21.1 Debian Linux <= 6.0 Debian Linux <= 7.0 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Betroffene Plattformen: Debian Fedora Linux RedHat UNIX Ein entfernter, nicht authentisierter Angreifer kann Informationen für weitere Angriffe auf die Anwendung ausnutzen, den CSRF Schutz umgehen und schlimmstenfalls beliebigen Programmcode mit Benutzerrechten ausführen, oder Cookie-basierte Authentifizierungsdaten stehlen oder die Darstellung einer Website im Browser eines anderen Benutzers kontrollieren und verfälschen. Patch: Fedora Update FEDORA-2013-15984 https://admin.fedoraproject.org/updates/FEDORA-2013-15984/mediawiki-1.21.2-1.fc19

Patch:

Fedora Update FEDORA-2013-15994

https://admin.fedoraproject.org/updates/FEDORA-2013-15994/mediawiki-1.19.8-1.fc18

CVE-2013-4303: Schwachstelle in Mediawiki

In Mediawiki, bis einschließlich Versionen 1.21.1, 1.20.6, und 1.19.7,
werden Parameter im PHP-Modul ‘api.php’ nicht ausreichend auf unzulässige
Inhalte gefiltert, bevor diese für dynamisch generierte Inhalte genutzt
werden. Ein entfernter Angreifer kann dadurch Script-Befehle oder HTML Code
in die Anwendung einschleusen. U.a. kann der Angreifer dadurch
Cookie-basierte Authentifizierungsdaten stehlen oder die Darstellung einer
Website im Browser eines anderen Benutzers kontrollieren und verfälschen.

CVE-2013-4302: Mehrere Schwachstellen in Mediawiki

Mehrere API Module von Mediawiki, bis einschließlich Versionen 1.21.1,
1.20.6, und 1.19.7 erlauben den Zugriff auf Anti-CSRF Tokens mit Hilfe von
JSONP. Ein Fehler in den API Aufrufen “tokens”, “unblock”, “login”,
“createaccount” und “block” kann ausgenutzt werden, um den Wert von
Anti-CSRF Tokens zu ermitteln. Ein entfernter, nicht authentisierter
Angreifer kann damit den CSRF Schutz umgehen und schlimmstenfalls beliebigen
Programmcode mit Benutzerrechten ausführen.

CVE-2013-4301: Schwachstelle in Mediawiki

Durch einen Fehler im RessourceLoader von Mediawiki, bis einschließlich
Versionen 1.21.1, 1.20.6, und 1.19.7, wird in Fehlermeldungen, nach
unbekannten Benutzereingaben, der vollständige Installationspfad angezeigt.
Ein entfernter, nicht authentisierter Angreifer kann diese Information für
weitere Angriffe auf die Anwendung ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1598/

Schwachstelle CVE-2013-4301 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4301

Schwachstelle CVE-2013-4302 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4302

Schwachstelle CVE-2013-4303 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4303

Fedora Update FEDORA-2013-15984:
https://admin.fedoraproject.org/updates/FEDORA-2013-15984/mediawiki-1.21.2-1.fc19

Fedora Update FEDORA-2013-15994:
https://admin.fedoraproject.org/updates/FEDORA-2013-15994/mediawiki-1.19.8-1.fc18

Schwachstelle CVE-2013-4301 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4301

Schwachstelle CVE-2013-4302 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4302

Schwachstelle CVE-2013-4303 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4303

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben