Zehn Sicherheitslücken in Wiki-Software MediaWiki

Die Open-Source-Software MediaWiki zum Betreiben von eigenen Wikis ist verwundbar. Die Entwickler haben drei abgesicherte Versionen veröffentlicht und damit insgesamt zehn Sicherheitslücken geschlossen. Das CERT Bund vom BSI stuft das von den Lücken ausgehende Risko als "hoch" ein.

Nutzen Angreifer die Schwachstellen aus, können sie zum Beispiel aus der Ferne ohne sich anzumelden eine XSS-Attacke ausüben. Zudem könnten sie Benutzernamen in privaten MediaWikis mitschneiden und Sicherheitsmechanismen umgehen. Die Entwickler härten die Software darüber hinaus gegen Brute-Force-Attacken auf das Login-Formular.

Die Lücken sind in den Ausgaben 1.27.4, 1.28.3 und 1.29.2 geschlossen, welche ab sofort zum Download bereits stehen. Im Zuge der Sicherheitswarnung weisen die Entwickler auf das Supportende vom Versionsstrang 1.28 hin und empfehlen den zeitnahen Umstieg auf 1.29. (des)