DFN-CERT-2014-1658 MediaWiki: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

DFN-CERT-2014-1658 MediaWiki: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MediaWiki

Betroffene Plattformen:

Debian Linux 7.7 Wheezy

Eine Schwachstelle in MediaWiki ermöglicht einem entfernten, nicht
authentifizierten Angreifer beliebigen Programmcode auszuführen.

Patch:

Debian Security Advisory DSA-3100-1

https://www.debian.org/security/2014/dsa-3100

CVE-2014-9277: Schwachstelle in MediaWiki ermöglicht das Ausführen von
beliebigem Programmcode

Eine Schwachstelle in der API-Funktion wfMangleFlashPolicy() führt dazu,
dass in PHP die Funktion serialize() wichtige Zeichen wie ” ” ” und “;”
nicht bereinigt. Die Länge der Zeichenkette eines Feldes ist bereits
bestimmt, wenn eine Antwort gesendet wird und wird nicht noch einmal
überprüft. Dadurch ist es möglich durch die Manipulation der Zeichenkette
beliebigen Programmcode oder Objekte einzuschleusen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1658/

Debian Security Advisory DSA-3100-1:
https://www.debian.org/security/2014/dsa-3100

Schwachstelle CVE-2014-9277 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9277

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben