2017-2050: MediaWiki: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2017-11-16 15:53)
- Neues Advisory
- Version 2 (2017-11-20 11:15)
- Für Fedora 26 steht ein Sicherheitsupdate auf das MediaWiki Release 1.28.3 und für Fedora 27 ein solches auf das MediaWiki Release 1.29.2 bereit; beide befinden sich im Status 'testing'.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in MediaWiki ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen. Weitere Schwachstellen ermöglichen einen Reflected-File-Download (RFD)-Angriff, das Ausspähen von Benutzernamen in privaten MediaWiki-Installationen, das Umgehen von Sicherheitsvorkehrungen sowie die Manipulation von HTML-Code.
MediaWiki hat offizielle Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung gestellt. Der Versionszweig 1.29 wird durch den Patch 1.29.2, der Versionszweig 1.28 durch den Patch 1.28.3 und der Versionszweig 1.27 durch den Patch 1.27.4 aktualisiert. MediaWiki merkt auch an, dass der Versionszweig 1.28 das letzte Sicherheitsupdate erhalten hat und es daher empfohlen wird, auf den weiterhin unterstützen Versionszweig 1.29 zu migrieren.
Debian stellt ein Sicherheitsupdate für die stabile Distribution Debian Jessie zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2017-8808
Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-AngriffCVE-2017-8809
Schwachstelle in MediaWiki ermöglicht Reflected-File-Download-AngriffCVE-2017-8810
Schwachstelle in MediaWiki ermöglicht Ausspähen von InformationenCVE-2017-8811
Schwachstelle in MediaWiki ermöglicht Manipulation von HTML-CodeCVE-2017-8812
Schwachstelle in MediaWiki ermöglicht Umgehung von SicherheitsvorkehrungenCVE-2017-8814
Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-AngriffCVE-2017-8815
Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.