Debian-Sicherheitsankündigung

DSA-1514-1 moin -- Mehrere Verwundbarkeiten

Datum des Berichts:
09. Mär 2008
Betroffene Pakete:
moin
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2007-2423, CVE-2007-2637, CVE-2008-0780, CVE-2008-0781, CVE-2008-0782, CVE-2008-1098, CVE-2008-1099.
Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden in MoinMoin, einem Python-Klon von WikiWiki, entdeckt. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

  • CVE-2007-2423

    Eine Site-übergreifende Skripting-Verwundbarkeit wurde im Umgang mit Anhängen entdeckt.

  • CVE-2007-2637

    Zugriffskontrolllisten (access control lists) für Kalender und Includes werden unzureichend sichergestellt. Dies kann zu einer Informationsenthüllung führen.

  • CVE-2008-0780

    Eine Site-übergreifende Skripting-Verwundbarkeit wurde im Login-Code entdeckt.

  • CVE-2008-0781

    Eine Site-übergreifende Skripting-Verwundbarkeit wurde im Umgang mit Anhängen entdeckt.

  • CVE-2008-0782

    Eine Verzeichnisüberschreitungsverwundbarkeit im Umgang mit Cookies kann zu einer lokalen Diensteverweigerung (denial of service) durch Überschreiben von Dateien führen.

  • CVE-2008-1098

    Mehrere Site-übergreifende Skripting-Verwundbarkeiten wurden im GUI-Editor-Formatierer und dem Code zum Löschen von Seiten gefunden.

  • CVE-2008-1099

    Der Makro-Code überprüft Zugriffskontrolllisten unzureichend. Dies kann zu einer Informationsenthüllung führen.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.5.3-1.2etch1 behoben. Diese Aktualisierung enthält auch eine Fehlerkorrektur bezüglich der Kodierung von Passwort-Erinnerungs-E-Mails, die keine Sicherheitsrelevanz hat.

Die alte Stable-Distribution (Sarge) wird wegen der vielen Änderungen und, da die Unterstützung für Sarge diesen Monat sowieso ausläuft, nicht aktualisiert. Es wird empfohlen, auf die Stable-Distribution zu aktualisieren, falls Sie moinmoin nutzen.

Wir empfehlen Ihnen, Ihr moin-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (stable)

Quellcode:
http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3.orig.tar.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.diff.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.dsc
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/moin/moinmoin-common_1.5.3-1.2etch1_all.deb
http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.5.3-1.2etch1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.