DFN-CERT-2014-1423 DokuWiki: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Debian]

DFN-CERT-2014-1423 DokuWiki: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

DokuWiki

Betroffene Plattformen:

Debian Linux 7.7 (Wheezy)

Mehrere Schwachstellen in DokuWiki ermöglichen einem entfernten, nicht
authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und das
Ausspähen von Informationen.

Patch:

Debian Security Advisory DSA-3059-1

https://www.debian.org/security/2014/dsa-3059

CVE-2014-8764: Schwachstelle in der LDAP Authentifizierung ermöglicht das
Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle in der LDAP Authentifizierung, wenn Active Directory
genutzt wird, führt dazu, dass die Eingaben eines Passwortes welches mit
einem NULL Zeichen (\0) beginnt, im Zusammenhang mit einem gültigen
Benutzernamen, zu einer anonymen Verbindung führt. Ein entfernt, nicht
authentifizierter Angreifer kann dadurch Sicherheitsvorkehrungen umgehen.

CVE-2014-8763: Schwachstelle in LDAP Authentifizierung ermöglicht das
Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle in der LDAP Authentifizierung, wenn Active Directory
genutzt wird, führt dazu, dass die Eingaben eines Passwortes welches mit
einem NULL Zeichen (\0) beginnt, im Zusammenhang mit einem gültigen
Benutzernamen, zu einer unberechtigt authentifizierten Verbindung führt. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch
Sicherheitsvorkehrungen umgehen.

CVE-2014-8762: Schwachstlle in “ajax_mediadiff” ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in der Funktion “ajax_mediadiff” führt dazu, dass durch
einen manipulierten Namespace-Eintrag auf beliebige Bilder zugegriffen
werden kann. Ein entfernter, nicht authentifizierter Angreifer kann sensible
Informationen ausspähen.

CVE-2014-8761: Schwachstelle beim Zugriff auf Namensräume ermöglicht das
Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle in der Datei “inc/template.php” von DokuWiki führt dazu,
dass bei Zugriffen nur der Wurzel-Namensraum (root Space) geprüft wird. Der
Zugriff auf beliebige Bilddateien ist durch einen Ajax-Aufruf über
Media-Datei-Details möglich. Ein entfernter, nicht authentifizierter kann
durch das Ausnutzen der Schwachstelle Sicherheitsvorkehrungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1423/

Schwachstelle CVE-2014-8761 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8761

Schwachstelle CVE-2014-8762 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8762

Schwachstelle CVE-2014-8763 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8763

Schwachstelle CVE-2014-8764 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8764

Debian Security Advisory DSA-3059-1:
https://www.debian.org/security/2014/dsa-3059

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben