Die Entwickler von MediaWiki haben ein Sicherheits- und Maintenance Release für die Hauptzweige 1.34.4 und 1.31.10 veröffentlicht.

Beide Updates sind kurz nach der eigentlichen Veröffentlichung der Versionen 1.34.3 und 1.31.9 freigegeben worden, da sie einen Fehler in den Backports beheben.

MediaWiki Security Release Notes

•  (T232568, CVE-2020-25813) SECURITY: SpecialUserrights: If a viewer lacks `hideuser`, ignore hidden users.
• (T255918, CVE-2020-25812) SECURITY: Unescaped message used in HTML on Special:Contributions.
• (T256171, CVE-2020-25815) SECURITY: Unescaped message used in HTML within LogEventsList.
• (T258763, CVE-2020-17367, CVE-2020-17368) SECURITY: Prevent invoking firejail's --output functionality.
• (T86738, CVE-2020-25814) SECURITY: mediawiki.jqueryMsg: Sanitize URLs and 'style' attribute.
• (T115888, CVE-2020-25828) SECURITY: mediawiki.js: Escape HTML in mw.message( ... ).parse().
• (T260485, CVE-2020-25869) SECURITY: ActorMigration: Load user from the correct database.
• (T260485, CVE-2020-25869) SECURITY: ensure actor ID from correct wiki is used.
• (T251661, CVE-2020-25827) SECURITY: TOTP throttle not enforced cross-wiki.

Genaue Informationen zu den Änderungen finden Sie unter: https://www.mediawiki.org/wiki/Release_notes/1.34 und https://www.mediawiki.org/wiki/Release_notes/1.31

Achtung - das offizielle Update auf 1.31.10 ist fehlerhaft. Es gibt inzwischen einen weiteren Fix der auf der MediaWiki Seite zu finden ist.