Code-Einschleusung durch MediaWiki-Lücke

In der beliebten Wiki-Software klafft eine kritische Lücke, durch die Angreifer den Server kompromittieren können. Gepatchte Versionen sorgen für Abhilfe.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Sicherheitsupdates für die Wiki-Software MediaWiki schließen eine kritische Lücke, die Angreifer zum Einschleusen von Schadcode missbrauchen können. Das Problem tritt beim Erzeugen von Thumbnails zu Dokumenten in den Formaten DjVu und PDF auf. Ersteres unterstützt MediaWiki von Haus aus, letzteres mit Hilfe der PdfHandler-Erweiterung. Betroffenen sind nur Installationen, bei denen Nutzer Dateien in den betroffenen Format hochladen dürfen. Standardmäßig ist diese Funktion nicht aktiv. Die abgesicherten Versionen lauten 1.22.2, 1.21.5 und 1.19.11. (rei)