CERT-FI haavoittuvuustiedote 148/2008

16.12.2008

MediaWiki-ohjelmistossa useita haavoittuvuuksia

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- tietojen muokkaaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

MediaWiki-ohjelmistosta on julkaistu turvallisuuspäivitykset, jotka korjaavat neljä eri haavoittuvuutta:

• XSS-haavoittuvuus ohjelmiston versioissa 1.13.0-1.13.2 mahdollistaa käyttäjän istunnon kaappaamisen jos käyttäjä vierailee hyökkäyskoodia sisältävällä sivulla
  
• Kaksi haavoittuvuutta, jotka mahdollistavat hyökkäyskoodin syöttämisen palvelimelle. Käyttäjän houkutteleminen suorittamaan koodin mahdollistaa hyökkääjän toimimisen korotetuilla käyttövaltuuksilla. Toinen haavoittuvuuksista koskee MediaWikin käyttämistä Internet Explorer -selaimella ja toinen SVG-ominaisuudella varustettuja selaimia, kuten Firefox versiosta 1.5 alkaen
  
• CSRF-haavoittuvuus kaikissa MediaWiki-versioissa versiosta 1.3.0 alkaen, joka mahdollistaa käyttäjän istunnon kaappaamisen siten, että hyökkääjä voi muokata sivuja ja väärentää versiohistorian, jos käyttäjä vierailee hyökkäyskoodia sisältävällä sivulla
  

HAAVOITTUVAT OHJELMISTOT:

• MediaWiki 1.x useita eri versioita

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä MediaWiki-ohjelmisto johonkin seuraavista versioista:

• 1.13.3
• 1.12.1
• 1.6.11

LISÄTIETOA:

• http://lists.wikimedia.org/pipermail/mediawiki-announce/2008-December/000080.html
• http://secunia.com/advisories/product/2546/
• CVE-2008-5249
• CVE-2008-5250
• CVE-2008-5252

PÄIVITYSHISTORIA:

16.12.2008, kello 16.45: Julkaistu

Sivua päivitetty 16.12.2008

Tulostusversio