2021-12 security release/FAQ/id

Serangkaian kelemahan telah ditemukan di MediaWiki yang memungkinkan penyerang membocorkan isi halaman dari wiki pribadi dan mengabaikan izin penyuntingan. Vektor utama untuk kebocoran ini adalah menggunakan tindakan berisiko di halaman yang dicantumkan di dan dapat diakses secara publik. MediaWiki sekarang hanya membuat tindakan "view" bisa diakses secara publik di halaman dalam secara bawaan. Masalah ini telah diperbaiki di 1.35.5, 1.36.3, dan 1.17.1, lihat pengumuman untuk pranala ke tarball dan tambalannya.

Apa saja masalahnya?

 * CVE-2021-44858: Fitur "balikkan" memungkinkan penyerang melihat isi sembarang revisi, meskipun mereka tidak punya izin untuk melakukan hal tersebut. Ini juga ditemukan dalam tindakan "mcrundo" dan "mcrrestore" (  dan  ).
 * CVE-2021-45038: Fitur "rollback" bisa digunakan dengan parameter yang dibuat secara khusus untuk memungkinkan penyerang membaca konten sembarang halaman, sekalipun mereka tidak punya izin untuk melakukan hal tersebut.
 * CVE-2021-44857: Tindakan "mcrundo" dan "mcrrestore" ( dan  ) tidak memeriksa izin penyuntingan, dan memungkinkan penyerang mengambil konten dari sembarang revisi dan menyimpannya di halaman mana pun yang dia pilih. Ini mempengaruhi wiki publik ataupun halaman publik di wiki pribadi.

Saya tidak punya waktu untuk menambalnya, bagaimana cara mematikannya saja?
Tambahkan ini ke LocalSettings.php Anda:

Jika wiki Anda pribadi (harus masuk log untuk membaca halaman), Anda juga harus mengatur:

Ini seharusnya mematikan seluruh kode yang lemah. Perubahan ini juga akan bekerja pada versi MediaWiki lemah yang sudah kedaluwarsa dan tidak punya tambalan.

Jika Anda menggunakan untuk memungkinkan pengguna di luar log untuk melihat halaman utama dengan teks bantuan, Anda sebaiknya memindahkan teks bantuan tersebut ke pesan MediaWiki:Loginreqpagetext, yang ditampilkan ketika galat "wajib masuk log".

Apakah saya terpengaruh?

 * Jika wiki Anda publiK (semua orang bisa membaca halaman): ya
 * Jika wiki Anda pribadi, dan atau  punya paling tidak satu halaman: ya

Jika Anda menggunakan ekstensi seperti Lockdown atau Whitelist Pages untuk membuat beberapa halaman tidak bisa dibaca oleh beberapa pengguna, Anda kemungkinan juga terpengaruh.

Versi apa saja yang terpengaruh?
Semua versi MediaWiki sejak 1.23.0 lemah terhadap serangan pengabaian izin membaca wiki pribadi (CVE-2021-44858, CVE-2021-45038).

Semua versi MediaWiki sejak 1.32.0 lemah terhadap serangan pengabaian izin menyunting (CVE-2021-44857).

Bagaimana ini diperbaiki secara jangka panjang?
Semua tindakan kecuali "view" sekarang mewajibkan hak pengguna eksplisit "read". Ini mirip dengan pemeriksaan izin yang digunakan di API Action dan REST. Jika kelemahan lebih lanjut ditemukan dalam tindakan, paling tidak kelemahan tersebut tidak akan bisa dimanfaatkan oleh pengguna di luar log di wiki pribadi.

Tindakan yang harus bisa digunakan di halaman bisa mengabaikan fungsi  baru.

How can I see if someone exploited it on my wiki?
Look for  or   in your access logs. Unless you specifically enabled an extension that uses multi-content revisions, there is no legitimate use for these actions.

In addition, look for  requests and check whether the revision IDs belong to a different title than the page being edited.

For the rollback bug, look for  where the "from" parameter is a template transclusion (for example,  ).

This bug does not cause any data loss, so any write actions an attacker could have taken will be recorded in page history like all other edits.

Kredit
Masalah ini ditemukan oleh Dylsss, terima kasih banyak kepadanya karena telah mengidentifikasi dan melaporkan masalah tersebut. Jika Anda menemukan sebuah kutu di MediaWiki, tolong lihat proses untuk melaporkan kutu keamanan.