DFN-CERT

Advisory-Archiv

2021-2627: MediaWiki: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2021-12-16 15:33)
Neues Advisory
Version 2 (2022-01-03 17:34)
Für Fedora 35 steht ein Sicherheitsupdate in Form des Pakets 'mediawiki-1.36.3-1.fc35' im Status 'testing' bereit. Fedora verweist hier auf die MediaWiki 1.36.3 Release Notes, während die im Sicherheitshinweis aufgeführten Schwachstellen nur MediaWiki-Erweiterungen betreffen. Diese werden nicht als Teil des Pakets ausgeliefert.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer, der in der Hälfte der Fälle über niedrige Privilegien verfügen muss, kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.

Eine Schwachstelle erfordert die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die referenzierten Schwachstellen und eine weitere Schwachstelle in einer Erweiterung und stellt zu deren Behebung die Versionen 1.35.5, 1.36.3 und 1.37.1 bereit.

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'mediawiki' in Version 1:1.27.7-1+deb9u11 bereit, um die Schwachstelle CVE-2021-44858 zu beheben. Für Debian 10 Buster (oldstable) steht die Version 1:1.31.16-1+deb10u2 und für Debian 11 Bullseye (stable) die Version 1:1.35.4-1+deb11u2 von 'mediawiki' als Sicherheitsupdate zur Verfügung, um die Schwachstellen CVE-2021-44857, CVE-2021-44858 und CVE-2021-45038 zu beheben.

Schwachstellen:

CVE-2021-44854

Schwachstelle in MediaWiki ermöglicht Ausspähen von Informationen

CVE-2021-44855

Schwachstelle in MediaWiki ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-44856

Schwachstelle in MediaWiki ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-44857

Schwachstelle in MediaWiki ermöglicht Manipulation von Dateien

CVE-2021-44858

Schwachstelle in MediaWiki ermöglicht Ausspähen von Informationen

CVE-2021-45038

Schwachstelle in MediaWiki ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.