2021-12 security release/FAQ/de

Eine Reihe von Schwachstellen in MediaWiki wurde gefunden, welche es Angreifern erlauben, Seiteninhalte privater Wikis zu erspähen und Bearbeitungsberechtigungen zu umgehen. Der Hauptzugriffspunkt dieser Sicherheitslücken ist es, verwundbare Aktionen auf Seiten zu verwenden, die auf gelistet und damit öffentlich zugänglich sind. MediaWiki macht die Aktion „view“ („ansehen“) nun standardmäßig nur auf Seiten öffentlich zugänglich, die in gelistet sind. Diese Probleme sind in 1.35.5, 1.36.3 und 1.37.1 behoben.

Was sind die Probleme?

 * CVE-2021-44858: Die „Rückgängig“-Funktion erlaubte es Angreifern, die Inhalte beliebiger Versionen zu sehen, unabhängig davon, ob sie dazu berechtigt waren. Dies betraf ebenso die „mcrundo“- und „mcrrestore“-Aktionen (  and  ).
 * CVE-2021-45038: Die „kommentarlos zurücksetzen“-Funktion konnte einen speziell erstellten Parameter empfangen, welcher es Angreifern erlaubte, die Inhalte beliebiger Seiten anzuzeigen, unabhängig davon, ob sie dazu berechtigt waren.
 * CVE-2021-44857: Die „mcrundo“- und „mcrrestore“-Aktionen ( and  ) prüften Bearbeitungsberechtigungen nicht richtig, und erlaubten es Angreifern, den Inhalt einer beliebigen Version zu nehmen und auf einer beliebigen anderen, von den Angreifern gewählten Seite zu speichern. Dies betrifft sowohl öffentliche Wikis als auch öffentliche Seiten auf privaten Wikis.

Ich habe keine Zeit, zu patchen, wie deaktiviere ich das?
Add the following to your LocalSettings.php:

If your wiki is private (requires login to view pages) you will also need to set:

It should fully disable the vulnerable code. These changes will also work for vulnerable end-of-life MediaWiki versions that do not have a patch available.

If you used to allow logged out users to see the main page with help text, you should instead move that help text to the MediaWiki:Loginreqpagetext message, which is shown on the "login required" error.

Was I affected?

 * If your wiki is public (anyone can read pages): yes
 * If your wiki is private, and or  has at least one page: yes

If you use an extension like Lockdown or Whitelist Pages to make some pages unreadable to some users, you are also likely affected.

What versions are vulnerable?
All MediaWiki versions since 1.23.0 are vulnerable to the private wiki read permissions bypasses (CVE-2021-44858, CVE-2021-45038).

All MediaWiki versions since 1.32.0 are vulnerable to the editing permissions bypass. (CVE-2021-44857).

How is this being fixed long-term?
All actions except "view" now require an explicit "read" userright. This is similar to permission checks used in the Action and REST APIs. If further vulnerabilities are found in actions, they will at least not be exploitable by logged out users on private wikis.

Actions that need to be usable on pages can override the new   function.

How can I see if someone exploited it on my wiki?
Look for  or   in your access logs. Unless you specifically enabled an extension that uses multi-content revisions, there is no legitimate use for these actions.

In addition, look for  requests and check whether the revision ids belong to a different title than the page being edited.

For the rollback bug, look for  where the "from" parameter is a template transclusion (for example,  ).

This bug does not cause any data loss, so any write actions an attacker could have taken will be recorded in page history like all other edits.

Credit
The issue was discovered by Dylsss, many thanks to them for identifying and reporting the issue. If you find a bug in MediaWiki, please see the process for reporting security bugs.