2021-12 security release/FAQ/zh

MediaWiki中发现了一系列漏洞. 这些漏洞导致攻击者可以通过私人wiki泄露页面内容并绕过编辑权限. 此次wiki泄漏的主要载体是在中列出的页面上使用易受攻击的操作，因此可被公开访问. 默认情况下，MediaWiki现在仅在中的页面上公开“查看”的操作权限. 这些问题在1.35.5、1.36.3和1.37.1版本中得到修复，压缩包和补丁的链接请参阅.

有哪些问题？

 * CVE-2021-44858: “撤消”功能 允许攻击者查看任意版本的修订内容，无论他们是否有权限这样做. 在mcrundo和mcrrestore的操作（ 和 ）中也发现了这一点.
 * CVE-2021-45038：“回退”功能（ ）能通过传递一个特殊构建的参数，使攻击者能够查看任意页面的内容，无论他们是否是否有权限这样做.
 * CVE-2021-44857：“mcrundo”和“mcrrestore”功能（ 、 ）没有正确检查编辑权限，允许攻击者获得任意版本的页面内容并保存到他们制定的页面中. 这将会影响到公共维基站点和私用维基站点的公共页面.

我没时间打补丁，我如何去禁止这些功能？
把这些添加到你的LocalSettings.php：

如果你的维基站点是私用的（需要登录才能查看页面），你也需要设置以下配置：

它应该完全禁用易受攻击的代码. 这些更改也适用于没有可用补丁而易受攻击的已结束技术支持的MediaWiki版本.

如果您使用 允许注销的用户查看带有帮助文本的主页，请将这些信息迁移到MediaWiki:Loginreqpagetext中，这个消息页面会展示“需要登录”的错误信息.

我受到影响了吗？


 * 如果你的维基站点是公用的（任何人都能查看任何页面）：是的
 * 如果你的维基站点是私用的，而且在和设置有页面：是的

如果你使用了Lockdown或者Whitelist Pages来限制一些用户禁止读取一些页面，这可能也会受影响.

哪些版本易受攻击？
自1.23.0版本开始，都会受到CVE-2021-44858、CVE-2021-45038的影响，私用维基站点的页面读取限制会被绕过.

自1.32.0版本开始，都会受到CVE-2021-44857的影响，页面编辑限制会被绕过.

如何长期解决的？
All actions except "view" now require an explicit "read" user right. This is similar to permission checks used in the Action and REST APIs. If further vulnerabilities are found in actions, they will at least not be exploitable by logged-out users on private wikis.

Actions that need to be usable on pages can override the new  function.

How can I see if someone exploited it on my wiki?
Look for  or   in your access logs. Unless you specifically enabled an extension that uses multi-content revisions, there is no legitimate use for these actions.

In addition, look for  requests and check whether the revision IDs belong to a different title than the page being edited.

For the rollback bug, look for  where the "from" parameter is a template transclusion (for example,  ).

This bug does not cause any data loss, so any write actions an attacker could have taken will be recorded in page history like all other edits.

Credit
The issue was discovered by Dylsss, many thanks to them for identifying and reporting the issue. If you find a bug in MediaWiki, please see the process for reporting security bugs.