Debians sikkerhedsbulletin
DSA-1514-1 moin -- flere sårbarheder
- Rapporteret den:
- 9. mar 2008
- Berørte pakker:
- moin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2007-2423, CVE-2007-2637, CVE-2008-0780, CVE-2008-0781, CVE-2008-0782, CVE-2008-1098, CVE-2008-1099.
- Yderligere oplysninger:
-
Flere fjernudnytbare sårbarheder er opdaget i MoinMoin, en Python-klon af WikiWiki. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CVE-2007-2423
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder blev opdaget i vedhæftelseshåndteringen.
- CVE-2007-2637
Adgangskontrollister til kalendre og includes blev ikke håndhævet tilstrækkeligt, hvilket kunne føre til informationsafsløring.
- CVE-2008-0780
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder blev opdaget i loginkoden.
- CVE-2008-0781
En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder blev opdaget i vedhæftelseshåndteringen.
- CVE-2008-0782
En mappegennemløbssårbarhed i cookie-håndteringen kunne føre til lokal lammelsesangreb (denial of service) ved overskrivelse af filer.
- CVE-2008-1098
Sårbarheder i forbindelse med udførelse af skripter på tværs af websteder blev opdaget i GUI-editorformateringen og i koden til sletning af sider.
- CVE-2008-1099
Makrokoden validerede adgangskontrollister på utilstrækkelig vis, hvilket kunne føre til informationsafsløring.
I den stabile distribution (etch), er disse problemer rettet i version 1.5.3-1.2etch1. Opdateringen indholder også en fejlrettelse vedrørende encoding af adgangskodepåmindelsesmails, hvilket ikke har sikkerhedsimplikationer.
Den gamle stabile distribution (sarge) vil ikke blive opdateret på grund af de mange ændringer, og fordi understøttelse af sarge alligevel ophører ved månedens udgang. Man rådes til at opgradere til den aktuelle stabile distribution hvis man kører moinmoin.
Vi anbefaler at du opgraderer din moin-pakke.
- CVE-2007-2423
- Rettet i:
-
Debian GNU/Linux 4.0 (stable)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.dsc
- http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/moin/moinmoin-common_1.5.3-1.2etch1_all.deb
- http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.5.3-1.2etch1_all.deb
- http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.5.3-1.2etch1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.