2021-12 security release/FAQ/fr

Une série de vulnérabilités ont été trouvées dans MediaWiki qui permettent à un attaquant de divulguer le contenu de pages à partir de wikis privés et de contourner les autorisations d'édition. Le vecteur principal de cette fuite de wiki est l'utilisation d'actions vulnérables sur des pages répertoriées dans et donc accessibles au public. MediaWiki ne rend désormais l'action « visualiser » accessible au public que sur les pages de par défaut. Ces problèmes sont résolus dans 1.35.5, 1.36.3 et 1.37.1, voir l'annonce pour les liens vers les archives et les correctifs.

Quels sont les problèmes ?

 * CVE-2021-44858 : La fonctionnalité « annuler » permettait à un attaquant d'afficher le contenu de révisions arbitraires, qu'il ait ou non l'autorisation de le faire. Cela a également été trouvé dans les actions "mcrundo" et "mcrrestore" (  et  ).
 * CVE-2021-45038 : la fonctionnalité "rollback" pourrait recevoir un paramètre spécialement conçu qui permettait à un attaquant d'afficher le contenu de pages arbitraires, qu'il ait ou non l'autorisation de le faire.
 * CVE-2021-44857: The "mcrundo" and "mcrrestore" actions ( and  ) did not properly check for editing permissions, and allowed an attacker to take the content of any arbitrary revision and save it on any page of their choosing. This affects both public wikis and public pages on private wikis.

Je n'ai pas le temps de patcher, comment désactiver cela ?
Ajoutez ce qui suit à votre LocalSettings.php :

Si votre wiki est privé (nécessite une connexion pour afficher les pages), vous devrez également définir :

Il devrait désactiver complètement le code vulnérable. Ces changements fonctionneront également pour les versions vulnérables de MediaWiki en fin de vie pour lesquelles aucun correctif n'est disponible.

Si vous utilisez pour permettre aux utilisateurs déconnectés de voir la page principale avec le texte d'aide, vous devriez plutôt déplacer ce texte d'aide vers le message MediaWiki:Loginreqpagetext, qui est affiché sur le "Connexion requise" Erreur.

Ai-je été affecté ?

 * Si votre wiki est public (n'importe qui peut lire les pages) : oui
 * Si votre wiki est privé, et ou  a au moins une page : oui

Si vous utilisez une extension comme Lockdown ou Whitelist Pages pour rendre certaines pages illisibles pour certains utilisateurs, vous êtes également susceptible d'être affecté.

Quelles versions sont vulnérables ?
Toutes les versions de MediaWiki depuis la 1.23.0 sont vulnérables aux contournements des autorisations de lecture du wiki privé (CVE-2021-44858, CVE-2021-45038).

Toutes les versions de MediaWiki depuis la 1.32.0 sont vulnérables au contournement des autorisations d'édition. (CVE-2021-44857).

Comment cela se règle-t-il sur le long terme ?
Toutes les actions à l'exception de « afficher » nécessitent désormais un droit d'utilisateur « lecture » explicite. Ceci est similaire aux contrôles d'autorisation utilisés dans les API Action et REST. Si d'autres vulnérabilités sont trouvées dans les actions, elles ne seront au moins pas exploitables par les utilisateurs déconnectés sur des wikis privés.

Les actions qui doivent être utilisables sur les pages peuvent remplacer la nouvelle fonction.

Comment puis-je voir si quelqu'un l'a exploité sur mon wiki ?
Recherchez  ou   dans vos journaux d'accès. À moins que vous n'ayez spécifiquement activé une extension qui utilise multi-content revisions, il n'y a pas d'utilisation légitime pour ces actions.

De plus, recherchez les demandes  et vérifiez si les ID de révision appartiennent à un titre différent de celui de la page en cours d'édition.

Pour le bogue d'annulation, recherchez  où le paramètre "from" est une transclusion de modèle (par exemple,  ).

Ce bogue ne provoque aucune perte de données, donc toutes les actions d'écriture qu'un attaquant aurait pu effectuer seront enregistrées dans l'historique des pages comme toutes les autres modifications.

Crédit
Le problème a été découvert par Dylsss, merci beaucoup à eux pour avoir identifié et signalé le problème. Si vous trouvez un bogue dans MediaWiki, veuillez consulter le processus pour signaler des bogues de sécurité.