Debians sikkerhedsbulletin

DSA-1514-1 moin -- flere sårbarheder

Rapporteret den:
9. mar 2008
Berørte pakker:
moin
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2007-2423, CVE-2007-2637, CVE-2008-0780, CVE-2008-0781, CVE-2008-0782, CVE-2008-1098, CVE-2008-1099.
Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i MoinMoin, en Python-klon af WikiWiki. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

  • CVE-2007-2423

    En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder blev opdaget i vedhæftelseshåndteringen.

  • CVE-2007-2637

    Adgangskontrollister til kalendre og includes blev ikke håndhævet tilstrækkeligt, hvilket kunne føre til informationsafsløring.

  • CVE-2008-0780

    En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder blev opdaget i loginkoden.

  • CVE-2008-0781

    En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder blev opdaget i vedhæftelseshåndteringen.

  • CVE-2008-0782

    En mappegennemløbssårbarhed i cookie-håndteringen kunne føre til lokal lammelsesangreb (denial of service) ved overskrivelse af filer.

  • CVE-2008-1098

    Sårbarheder i forbindelse med udførelse af skripter på tværs af websteder blev opdaget i GUI-editorformateringen og i koden til sletning af sider.

  • CVE-2008-1099

    Makrokoden validerede adgangskontrollister på utilstrækkelig vis, hvilket kunne føre til informationsafsløring.

I den stabile distribution (etch), er disse problemer rettet i version 1.5.3-1.2etch1. Opdateringen indholder også en fejlrettelse vedrørende encoding af adgangskodepåmindelsesmails, hvilket ikke har sikkerhedsimplikationer.

Den gamle stabile distribution (sarge) vil ikke blive opdateret på grund af de mange ændringer, og fordi understøttelse af sarge alligevel ophører ved månedens udgang. Man rådes til at opgradere til den aktuelle stabile distribution hvis man kører moinmoin.

Vi anbefaler at du opgraderer din moin-pakke.

Rettet i:

Debian GNU/Linux 4.0 (stable)

Kildekode:
http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3.orig.tar.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.diff.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/moin/moinmoin-common_1.5.3-1.2etch1_all.deb
http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.5.3-1.2etch1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.