Dies Bundesamt für jedes Sicherheit in jener Informationstechnik (BSI) hat am 06.10.2024 eine Sicherheitswarnung für jedes MediaWiki gemeldet. Welcher Meldung weist hinauf mehrere Schwachstellen hin, die vereinen Offensive zuteilen. Betroffen von jener Sicherheitslücke sind die Betriebssysteme Linux und Windows sowie dasjenige Produkt Open Source MediaWiki.

Die neuesten Hersteller-Empfehlungen bzgl. Updates, Workarounds und Sicherheitspatches für jedes jene Sicherheitslücke finden Sie hier: GitHub Advisory Database (Stand: 06.10.2024). Weitere nützliche Sinister werden weiter unten in diesem Einschränkung aufgeführt.

Mehrere Schwachstellen für jedes MediaWiki gemeldet – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Cousine Score: 9,3
CVSS Zeitlich Score: 8,1
Remoteangriff: Ja

Zur Priorisierung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinauf Stützpunkt verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Welcher Cousine Score bewertet die Voraussetzungen für jedes vereinen Offensive (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Welcher Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen im Sinne als jener Gefahrenlage. Die Gefährdung jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 9,3 qua „hoch“ eingestuft.

MediaWiki Programmierfehler: Erläuterung des Angriffs

MediaWiki ist ein freies Wikiwiki, dasjenige ursprünglich für jedes den Hinterlegung hinauf Wikipedia entwickelt wurde.

Ein Angreifer kann mehrere Schwachstellen in MediaWiki ausnutzen, um beliebigen Quellcode auszuführen, vertrauliche Informationen offenzulegen, vereinen Cross-Site-Scripting-Offensive durchzuführen oder Dateien zu verheimlichen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2024-35226, CVE-2024-45046, CVE-2024-45048, CVE-2024-47840, CVE-2024-47841, CVE-2024-47845, CVE-2024-47846, CVE-2024-47847, CVE-2024-47848, CVE-2024-47849 und CVE-2024-47913.

Von jener MediaWiki-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, Windows

Produkte
Open Source MediaWiki <1.39.9 (cpe:/a:mediawiki:mediawiki)
Open Source MediaWiki 1.39.9 (cpe:/a:mediawiki:mediawiki)
Open Source MediaWiki <1.41.3 (cpe:/a:mediawiki:mediawiki)
Open Source MediaWiki 1.41.3 (cpe:/a:mediawiki:mediawiki)
Open Source MediaWiki <1.42.2 (cpe:/a:mediawiki:mediawiki)
Open Source MediaWiki 1.42.2 (cpe:/a:mediawiki:mediawiki)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. User jener betroffenen Systeme sollten jene hinauf dem aktuellsten Stand halten. Hersteller sind zwischen Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Reifung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie jene zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Teil aufgeführten Quellen. Vielmals enthalten jene weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich zwischen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen droben Programmierfehler-Reports, Security-Fixes und Workarounds.

GitHub Advisory Database vom 2024-10-06 (06.10.2024)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-rmcp-9fhq-58pv

GitHub Advisory Database vom 2024-10-06 (06.10.2024)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-q7xp-xjgh-vpm7

GitHub Advisory Database vom 2024-10-06 (06.10.2024)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-mmf2-8r78-pm42

GitHub Advisory Database vom 2024-10-06 (06.10.2024)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-jqvm-9xm2-gc38

GitHub Advisory Database vom 2024-10-06 (06.10.2024)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-mmf2-8r78-pm42

MediaWiki Extensions and Skins Security Release Supplement vom 2024-10-06 (06.10.2024)
Weitere Informationen finden Sie unter: https://lists.wikimedia.org/hyperkitty/list/[email protected]/thread/HSYMEVZJGTFJ732R62K3BI2AIYPK2AN2/

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises für jedes MediaWiki. Zwischen Veröffentlichung von Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

06.10.2024 – Initiale Halterung

+++ Redaktioneller Zeiger: Dieser Text wurde hinauf Stützpunkt aktueller BSI-Datenmaterial generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon zwischen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
kns/roj/news.de