2021-12 security release/FAQ/pt-br

Uma série de vulnerabilidades foi encontrada no MediaWiki que permite a um invasor vazar o conteúdo de páginas de wikis privados e contornar permissões de edição. Uma série de vulnerabilidades foi encontrada no MediaWiki que permite a um invasor vazar o conteúdo de páginas de wikis privados e contornar permissões de edição. Agora o MediaWiki torna apenas a ação de ‘visualização’ publicamente acessível em páginas em por padrão. Esses problemas foram corrigidos nas versões 1.35.5, 1.36.3 e 1.37.1, consulte o [anúncio https://lists.wikimedia.org/hyperkitty/list/mediawiki-announce@lists.wikimedia.org/message/QEN3EK4JXAVJMJ5GF3GYOAKNJPEKFQYA/] para links de tarballs e patches.



Quais são os problemas?

 * CVE-2021-44858: O recurso ‘desfazer’ permitia que um invasor visualizasse o conteúdo de revisões arbitrárias, independentemente de ter permissão para fazê-lo. Isso também foi encontrado nas ações ‘mcrundo’ e ‘mcrrestore’ (  e  ).
 * CVE-2021-45038: O recurso ‘rollback’ poderia receber um parâmetro especialmente criado que permitia a um invasor visualizar o conteúdo de páginas arbitrárias, independentemente de ter permissão para fazê-lo.
 * CVE-2021-44857: As ações ‘mcrundo’ e ‘mcrrestore’ ( e  ) não verificavam adequadamente as permissões de edição e permitiam que um invasor pegasse o conteúdo de qualquer revisão arbitrária e o salvasse em qualquer página de sua escolha. Isso afeta tanto wikis públicas quanto páginas públicas em wikis privadas.



Eu não tenho tempo para aplicar o patch, como desabilito isso?
Adicione o seguinte ao seu LocalSettings.php:

Se o seu wiki é privado (requer login para visualizar páginas), você também precisará definir:

Isso deve desabilitar completamente o código vulnerável. Essas alterações também funcionarão para versões do MediaWiki vulneráveis ​​e sem suporte que não possuem um patch disponível.

Se você usou para permitir que usuários não logados vissem a página principal com texto de ajuda, em vez disso, mova esse texto de ajuda para a mensagem MediaWiki:Loginreqpagetext, que é exibida no erro ‘login necessário’.



Eu fui afetado?

 * Se o seu wiki é público (qualquer pessoa pode ler páginas): sim

Se o seu wiki é privado e ou  tem pelo menos uma página: sim

Se você usa uma extensão como ou  para tornar algumas páginas ilegíveis para alguns usuários, também é provável que seja afetado.



Quais versões são vulneráveis?
Todas as versões do MediaWiki desde 1.23.0 até 1.34.x e 1.35.x, 1.36.x, 1.37.x antes das correções (veja o topo da seção ), são vulneráveis ​​às violações de permissões de leitura de wikis privados (CVE-2021-44858, CVE-2021-45038).

Todas as versões do MediaWiki desde 1.32.0 até 1.34.x, e 1.35.x, 1.36.x, 1.37.x antes das correções (veja a seção superior), são vulneráveis à violação de permissões de edição (CVE-2021-44857).



Como isso está sendo corrigido a longo prazo?
Todas as ações, exceto “visualizar”, agora exigem um direito de usuário “ler” explícito. Isso é semelhante às verificações de permissão usadas nas APIs de Ação e REST. Se forem encontradas mais vulnerabilidades nas ações, pelo menos elas não serão exploráveis por usuários desconectados em wikis privados.

Ações que precisam ser usadas em páginas podem substituir a nova função.



Como posso ver se alguém explorou isso no meu wiki?
Procure por  ou   em seus registros de acesso. A menos que você tenha habilitado especificamente uma extensão que use revisões de conteúdo múltiplo, não há uso legítimo para essas ações.

In addition, look for  requests and check whether the revision IDs belong to a different title than the page being edited.

For the rollback bug, look for  where the "from" parameter is a template transclusion (for example,  ).

This bug does not cause any data loss, so any write actions an attacker could have taken will be recorded in page history like all other edits.

Credit
The issue was discovered by Dylsss, many thanks to them for identifying and reporting the issue. If you find a bug in MediaWiki, please see the process for reporting security bugs.