2021-12 security release/FAQ/pt-br

Uma série de vulnerabilidades foi encontrada no MediaWiki que permite a um invasor vazar o conteúdo de páginas de wikis privados e contornar permissões de edição. Uma série de vulnerabilidades foi encontrada no MediaWiki que permite a um invasor vazar o conteúdo de páginas de wikis privados e contornar permissões de edição. Agora o MediaWiki torna apenas a ação de ‘visualização’ publicamente acessível em páginas em por padrão. Esses problemas foram corrigidos nas versões 1.35.5, 1.36.3 e 1.37.1, consulte o [anúncio https://lists.wikimedia.org/hyperkitty/list/mediawiki-announce@lists.wikimedia.org/message/QEN3EK4JXAVJMJ5GF3GYOAKNJPEKFQYA/] para links de tarballs e patches.



Quais são os problemas?

 * CVE-2021-44858: O recurso ‘desfazer’ permitia que um invasor visualizasse o conteúdo de revisões arbitrárias, independentemente de ter permissão para fazê-lo. Isso também foi encontrado nas ações ‘mcrundo’ e ‘mcrrestore’ (  e  ).
 * CVE-2021-45038: O recurso ‘rollback’ poderia receber um parâmetro especialmente criado que permitia a um invasor visualizar o conteúdo de páginas arbitrárias, independentemente de ter permissão para fazê-lo.
 * CVE-2021-44857: As ações ‘mcrundo’ e ‘mcrrestore’ ( e  ) não verificavam adequadamente as permissões de edição e permitiam que um invasor pegasse o conteúdo de qualquer revisão arbitrária e o salvasse em qualquer página de sua escolha. Isso afeta tanto wikis públicas quanto páginas públicas em wikis privadas.



Eu não tenho tempo para aplicar o patch, como desabilito isso?
Adicione o seguinte ao seu LocalSettings.php:

Se o seu wiki é privado (requer login para visualizar páginas), você também precisará definir:

Isso deve desabilitar completamente o código vulnerável. Essas alterações também funcionarão para versões do MediaWiki vulneráveis ​​e sem suporte que não possuem um patch disponível.

Se você usou para permitir que usuários não logados vissem a página principal com texto de ajuda, em vez disso, mova esse texto de ajuda para a mensagem MediaWiki:Loginreqpagetext, que é exibida no erro ‘login necessário’.



Eu fui afetado?

 * Se o seu wiki é público (qualquer pessoa pode ler páginas): sim

Se o seu wiki é privado e ou  tem pelo menos uma página: sim

Se você usa uma extensão como ou  para tornar algumas páginas ilegíveis para alguns usuários, também é provável que seja afetado.

What versions are vulnerable?
All MediaWiki versions since 1.23.0 until 1.34.x, and 1.35.x, 1.36.x, 1.37.x before the fixes (see the top section), are vulnerable to the private wiki read permissions bypasses (CVE-2021-44858, CVE-2021-45038).

All MediaWiki versions since 1.32.0 until 1.34.x, and 1.35.x, 1.36.x, 1.37.x before the fixes (see the top section), are vulnerable to the editing permissions bypass (CVE-2021-44857).

How is this being fixed long-term?
All actions except "view" now require an explicit "read" user right. This is similar to permission checks used in the Action and REST APIs. If further vulnerabilities are found in actions, they will at least not be exploitable by logged-out users on private wikis.

Actions that need to be usable on pages can override the new  function.

How can I see if someone exploited it on my wiki?
Look for  or   in your access logs. Unless you specifically enabled an extension that uses multi-content revisions, there is no legitimate use for these actions.

In addition, look for  requests and check whether the revision IDs belong to a different title than the page being edited.

For the rollback bug, look for  where the "from" parameter is a template transclusion (for example,  ).

This bug does not cause any data loss, so any write actions an attacker could have taken will be recorded in page history like all other edits.

Credit
The issue was discovered by Dylsss, many thanks to them for identifying and reporting the issue. If you find a bug in MediaWiki, please see the process for reporting security bugs.