26.01.2008, 10:37:04
Über eine Schwachstelle in den aktuellen Versionen des populären MediaWiki können Angreifer per Cross-Site-Scripting beliebigen HTML- und Scriptcode in Browsersitzungen einspeisen.
Folgende Versionen von MediaWiki sind betroffen:
Version 1.11 (niedriger als 1.11.0rc1)
Version 1.10 (niedriger als 1.10.2)
Version 1.9 (niedriger als 1.9.4)
Version 1.8 (durchgängig)
MediaWiki Version 1.7 soll hingegen nicht betroffen sein.
Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an verschiedene Parameter in der Datei „api.php“.
Durch gezielte Manipulation können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer MediaWiki Benutzer einspeisen.
Empfehlung:
Nutzer von betroffenen MediaWiki Versionen sollten ein Upgrade auf die neusten Versionen 1.11.1, 1.10.3 und 1.9.5 durchführen, in denen die Sicherheitslücke behoben wurde.
Folgende Versionen von MediaWiki sind betroffen:
Version 1.11 (niedriger als 1.11.0rc1)
Version 1.10 (niedriger als 1.10.2)
Version 1.9 (niedriger als 1.9.4)
Version 1.8 (durchgängig)
MediaWiki Version 1.7 soll hingegen nicht betroffen sein.
Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an verschiedene Parameter in der Datei „api.php“.
Durch gezielte Manipulation können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer MediaWiki Benutzer einspeisen.
Empfehlung:
Nutzer von betroffenen MediaWiki Versionen sollten ein Upgrade auf die neusten Versionen 1.11.1, 1.10.3 und 1.9.5 durchführen, in denen die Sicherheitslücke behoben wurde.