2021-0726: MediaWiki: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe
Historie:
- Version 1 (2021-04-12 17:45)
- Neues Advisory
- Version 2 (2021-04-14 17:37)
- Der Hersteller hat über die Schwachstellen informiert und MediaWiki in den Versionen 1.31.13 und 1.35.2 als Sicherheitsupdates zur Verfügung gestellt. Für Fedora 33 steht ein Sicherheitsupdate auf Version 1.35.2 im Status 'testing' bereit. Die Schwachstellen CVE-2021-20270 und CVE-2021-27291 werden hier nicht erwähnt, aber vermutlich ebenfalls behoben. Zusätzlich wird die Schwachstelle CVE-2021-30156 aufgeführt, welche das Ausspähen von Informationen ermöglicht (hier aufgenommen).
- Version 3 (2021-05-05 11:36)
- Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'mediawiki' in Version 1:1.27.7-1~deb9u8 bereit, um die Schwachstellen CVE-2021-20270, CVE-2021-27291, CVE-2021-30152, CVE-2021-30155, CVE-2021-30158 und CVE-2021-30159 zu beheben.
- Version 4 (2021-05-07 08:54)
- Mit dem letzten Sicherheitsupdate zur Behebung der Schwachstelle CVE-2021-30152 wurde eine Regression eingeführt. Aufgrund einer Inkompatibilität mit der 'stretch-security'-Version funktionierten MediaWiki APIs nicht mehr. Für Debian 9 Stretch (LTS) steht zur Behebung des Problems ein neues Sicherheitsupdate für 'mediawiki' in Version 1:1.27.7-1~deb9u9 bereit.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen sowie Cross-Site-Scripting (XSS)- und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren und Privilegien zu eskalieren.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'mediawiki' in Version 1:1.31.14-1~deb10u1 bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2021-20270
Schwachstelle in Python Pygments ermöglicht Denial-of-Service-AngriffCVE-2021-27291
Schwachstelle in Python Pygments ermöglicht Denial-of-Service-AngriffCVE-2021-30152
Schwachstelle in MediaWiki ermöglicht PrivilegieneskalationCVE-2021-30154
Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-AngriffCVE-2021-30155
Schwachstelle in MediaWiki ermöglicht PrivilegieneskalationCVE-2021-30156
Schwachstelle in MediaWiki ermöglicht Ausspähen von InformationenCVE-2021-30157
Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-AngriffCVE-2021-30158
Schwachstelle in MediaWiki ermöglicht Ausspähen von InformationenCVE-2021-30159
Schwachstelle in MediaWiki ermöglicht Manipulation von Dateien
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.