DFN-CERT-2015-1655 MediaWiki: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2015-1655 MediaWiki: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MediaWiki <= 1.23.10 MediaWiki <= 1.24.3 MediaWiki <= 1.25.2 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Mehrere Schwachstellen in MediaWiki ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen und die Durchführung von Denial-of-Service (DoS)-Angriffen. Ein entfernter, einfach authentifizierter Angreifer kann außerdem Sicherheitsvorkehrungen umgehen. Um diese Schwachstellen zu beheben, stehen die fehlerbereinigten Versionen 1.23.11, 1.24.4 und 1.25.3 zum Herunterladen auf der Seite des Herstellers zur Verfügung. Für Fedora 21, 22 und 23 stehen Sicherheitsupdates in Form der Pakete 'mediawiki-1.24.4-1.fc21', 'mediawiki-1.25.3-1.fc22' und 'mediawiki-1.25.3-1.fc23' im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2015-24fe8b66c9 (Fedora 22, MediaWiki 1.25.3) https://bodhi.fedoraproject.org/updates/FEDORA-2015-24fe8b66c9

Patch:

Fedora Security Update FEDORA-2015-97fe05f788 (Fedora 21, MediaWiki 1.24.4)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-97fe05f788

Patch:

Fedora Security Update FEDORA-2015-ec6d598d3d (Fedora 23, MediaWiki 1.25.3)

https://bodhi.fedoraproject.org/updates/FEDORA-2015-ec6d598d3d

Patch:

MediaWiki Release Notes 1.23.11

https://www.mediawiki.org/wiki/Release_notes/1.23#MediaWiki_1.23.11

Patch:

MediaWiki Release Notes 1.25.3

https://www.mediawiki.org/wiki/Release_notes/1.25#MediaWiki_1.25.3

Patch:

MediaWki Release Notes 1.24.4

https://www.mediawiki.org/wiki/Release_notes/1.24#MediaWiki_1.24.4

MEDIAWIKI-BUG-ID-T95589: Schwachstelle in MediaWiki ermöglicht das Umgehen
von Sicherheitsvorkehrungen

Eine Schwachstelle in MediaWiki basiert auf einer fehlenden
Zugriffskontrollfunktion, so dass Benutzer mit dem Recht ‘viewsuppressed’
und ohne das Recht ‘suppressrevision’ die ‘suppression’ von einer Revision
löschen können. Ein entfernter, einfach authentisierter Angreifer kann
Sicherheitsvorkehrungen umgehen.

MEDIAWIKI-BUG-ID-T91850: Schwachstelle in MediaWiki ermöglicht
Denial-of-Service

Eine Schwachstelle in MediaWiki basiert darauf, dass das Hochladen von
Dateien keiner Beschränkung der Datenrate unterliegt. Ein entfernter, nicht
authentisierter Angreifer kann einen Denial-of-Service-Angriff
durchzuführen.

MEDIAWIKI-BUG-ID-T91205: Schwachstelle in MediaWiki ermöglicht
Denial-of-Service

Eine Schwachstelle in der API von MediaWiki erlaubt das Hochladen von
Dateifragmenten in der Größe von einem Byte auch für sehr große Dateien,
wodurch sehr viele Einzeldateien in dem Dateisystem des Servers erzeugt
werden. Ein entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchzuführen.

MEDIAWIKI-BUG-ID-T91203: Schwachstelle in MediaWiki ermöglicht
Denial-of-Service

Eine Schwachstelle in der API von MediaWiki erlaubt im “chunked mode” das
Hochladen von Daten über die angegebene Dateigröße hinaus, wodurch unendlich
viele Daten an den Server gesendet werden können. Ein entfernter, nicht
authentisierter Angreifer kann einen Denial-of-Service-Angriff
durchzuführen.

MEDIAWIKI-BUG-ID-T108616: Schwachstelle in MediaWiki ermöglicht Ausspähen
von Informationen

Eine Schwachstelle in MediaWiki basiert darauf, dass durch ImageMagick
erzeugte Vorschaubilder den lokalen Pfad in den Metadaten enthalten, woraus
sich Rückschlüsse über die Installation von MediaWiki ziehen lassen. Ein
entfernter, nicht authentisierter Angreifer kann Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1655/

Fedora Security Update FEDORA-2015-24fe8b66c9 (Fedora 22, MediaWiki 1.25.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-24fe8b66c9

Fedora Security Update FEDORA-2015-97fe05f788 (Fedora 21, MediaWiki 1.24.4):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-97fe05f788

Fedora Security Update FEDORA-2015-ec6d598d3d (Fedora 23, MediaWiki 1.25.3):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-ec6d598d3d

MediaWiki Release Notes 1.23.11:
https://www.mediawiki.org/wiki/Release_notes/1.23#MediaWiki_1.23.11

MediaWiki Release Notes 1.25.3:
https://www.mediawiki.org/wiki/Release_notes/1.25#MediaWiki_1.25.3

MediaWki Release Notes 1.24.4:
https://www.mediawiki.org/wiki/Release_notes/1.24#MediaWiki_1.24.4

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben