26.01.2008, 10:37:04
Über eine Schwachstelle in den aktuellen Versionen des populären MediaWiki können Angreifer per Cross-Site-Scripting beliebigen HTML- und Scriptcode in Browsersitzungen einspeisen.
Folgende Versionen von MediaWiki sind betroffen:
Version 1.11 (niedriger als 1.11.0rc1)
Version 1.10 (niedriger als 1.10.2)
Version 1.9 (niedriger als 1.9.4)
Version 1.8 (durchgängig)
MediaWiki Version 1.7 soll hingegen nicht betroffen sein.
Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an verschiedene Parameter in der Datei „api.php“.
Durch gezielte Manipulation können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer MediaWiki Benutzer einspeisen.
Empfehlung:
Nutzer von betroffenen MediaWiki Versionen sollten ein Upgrade auf die neusten Versionen 1.11.1, 1.10.3 und 1.9.5 durchführen, in denen die Sicherheitslücke behoben wurde.
Folgende Versionen von MediaWiki sind betroffen:
Version 1.11 (niedriger als 1.11.0rc1)
Version 1.10 (niedriger als 1.10.2)
Version 1.9 (niedriger als 1.9.4)
Version 1.8 (durchgängig)
MediaWiki Version 1.7 soll hingegen nicht betroffen sein.
Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an verschiedene Parameter in der Datei „api.php“.
Durch gezielte Manipulation können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer MediaWiki Benutzer einspeisen.
Empfehlung:
Nutzer von betroffenen MediaWiki Versionen sollten ein Upgrade auf die neusten Versionen 1.11.1, 1.10.3 und 1.9.5 durchführen, in denen die Sicherheitslücke behoben wurde.
Mit freundlichen Grüßen / Best Regards
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de