DFN-CERT

Advisory-Archiv

2020-2096: MediaWiki: Mehrere Schwachstelle ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-09-28 18:57)
Neues Advisory
Version 2 (2020-09-29 11:28)
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'mediawiki' auf Version 1:1.27.7-1~deb9u5 bereit, um eine mit der vorherigen Version eingeführte Regression zu beheben.
Version 3 (2020-11-23 08:59)
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'mediawiki' auf Version 1:1.27.7-1~deb9u6 bereit, um einen in der vorherigen Version zur Behebung der Schwachstelle CVE-2020-25827 enthaltenen Fehler zu beheben, welcher von der möglichen Verwendung einer nicht initialisierten Variablen herrührt.
Version 4 (2020-12-03 12:46)
Für Fedora 33 stehen Sicherheitsupdates in Form der Pakete 'mediawiki-1.35.0-1', 'php-oojs-oojs-ui-0.39.3-1', 'php-wikimedia-assert-0.5.0-1' und 'php-zordius-lightncandy-1.2.5-1' im Status 'testing' bereit, um die Schwachstellen zu beheben. In diesem Update werden zusätzlich die Schwachstellen CVE-2020-26120 und CVE-2020-26121 behoben, welche einen Cross-Site-Scripting (XSS)-Angriff und das Darstellen falscher Informationen ermöglichen.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle im in MediaWiki verwendeten Firejail ermöglicht einem lokalen Angreifer mit üblichen Benutzerrechten beliebigen Programmcode auszuführen. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben. Eine weitere Schwachstelle in Firejail ermöglicht einem lokalen Angreifer mit üblichen Benutzerrechten Dateien zu manipulieren. Mehrere Schwachstellen in MediaWiki ermöglichen einem entfernten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers. Zwei weitere Schwachstellen ermöglichen einem entfernten Angreifer, teils mit üblichen Benutzerrechten, das Ausspähen von Informationen. Eine weitere Schwachstelle ermöglicht einem entfernten Angreifer mit üblichen Benutzerrechten Sicherheitsvorkehrungen wie die 2-Faktor-Authenifikation zu umgehen und möglicherweise Benutzerrechte erlangen.

Der Hersteller informiert über die Schwachstellen und stellt MediaWiki 1.31.9 (1.31.10), 1.34.3 (1.34.4) und 1.35.0 als Sicherheitsupdates bereit.

Für Debian 9 Stretch (LTS) und Debian 10 Buster (stable) stehen Sicherheitsupdates für 'mediawiki' in den Versionen '1:1.27.7-1~deb9u4' bzw. '1:1.31.10-1~deb10u1' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-17367

Schwachstelle in Firejail ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-17368

Schwachstelle in Firejail ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-25812

Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-25813

Schwachstelle in MediaWiki ermöglicht Ausspähen von Informationen

CVE-2020-25814

Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-25815

Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-25827

Schwachstelle in MediaWiki ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-25828

Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-25869

Schwachstelle in MediaWiki ermöglicht Ausspähen von Informationen

CVE-2020-26120

Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-26121

Schwachstelle in MediaWiki ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.