Debian-Sicherheitsankündigung
DSA-1324-1 hiki -- Fehlende Eingabebereinigung
- Datum des Berichts:
- 28. Jun 2007
- Betroffene Pakete:
- hiki
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 430691.
In Mitres CVE-Verzeichnis: CVE-2007-2836. - Weitere Informationen:
-
Kazuhiro Nishiyama fand eine Verwundbarkeit in hiki, einer in Ruby geschriebenen Wiki-Engine, die es einem entfernten Angreifer erlauben kann, beliebige Dateien zu löschen, die für den Hiki-Benutzer schreibbar sind, indem ein spezieller Sitzungsparameter gefälscht wird.
Für die Stable-Distribution (Etch) wurde dieses Problem in Version 0.8.6-1etch1 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 0.8.7-1 behoben.
Wir empfehlen Ihnen, Ihr hiki-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/h/hiki/hiki_0.8.6-1etch1.diff.gz
- http://security.debian.org/pool/updates/main/h/hiki/hiki_0.8.6-1etch1.dsc
- http://security.debian.org/pool/updates/main/h/hiki/hiki_0.8.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/h/hiki/hiki_0.8.6-1etch1.dsc
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/h/hiki/hiki_0.8.6-1etch1_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.