Összefoglaló
A MediaWiki sérülékenységi váltak ismerté, melyeket kihasználva a támadók jogosultlan hozzáférést, adatlopást érhetnek el, valamint szolgáltatás megtagadásos és XSS támadásokat hajthatnak végre.
Leírás
A fejlesztők az alábbi sebezhetőségeket orvosolták:
- ellenőrzési hiányosságok, XSS-hibák
- sérülékenységek az API-kban és a feltöltések kezelésében
- hozzáféréskezelési rendellenességek
- hiba a viewsuppressed engedély kezelésében
- sebezhetőség a PNG-fájlok generálásában (ImageMagick)
- XSS-hiba az Extension:PageTriage bővítményben
- adatszivárgási probléma az Extension:Echo kapcsán
- az IP-cím alapú védelem megkerülhetősége (Extension:OAuth).
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 1.23.11, 1.24.4, vagy 1.25.3-as verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Deny of service (Szolgáltatás megtagadás)
Other (Egyéb)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.mediawiki.org
Egyéb referencia: isbk.hu
CVE-2015-8001 - NVD CVE-2015-8001
CVE-2015-8002 - NVD CVE-2015-8002
CVE-2015-8003 - NVD CVE-2015-8003
CVE-2015-8004 - NVD CVE-2015-8004
CVE-2015-8005 - NVD CVE-2015-8005
CVE-2015-8006 - NVD CVE-2015-8006
CVE-2015-8007 - NVD CVE-2015-8007
CVE-2015-8008 - NVD CVE-2015-8008
CVE-2015-8009 - NVD CVE-2015-8009