Plusieurs vulnérabilités distantes ont été découvertes dans MoinMoin, un clone en Python de WikiWiki. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Une vulnérabilité de script intersite a été découverte dans la gestion des fichiers joints.
Les listes de contrôle d'accès pour les calendriers et les inclusions n'étaient pas suffisamment bien appliquées. Cela peut conduire à divulguer des informations.
Une vulnérabilité de script intersite a été découverte dans le code de connexion.
Une vulnérabilité de script intersite a été découverte dans la gestion des fichiers joints.
Une vulnérabilité de traversée de répertoires dans la gestion des cookies peut conduire à un déni de service local par écrasement de fichiers.
Une vulnérabilité de script intersite a été découverte dans le moteur de formatage de l'éditeur de l'interface utilisateur et dans le code de suppression de pages.
Le code macro ne valide pas suffisamment les listes de contrôle d'accès. Cela peut conduire à divulguer des informations.
L'ancienne distribution stable (Sarge) ne sera pas mise à jour à cause des nombreuses modifications que cela impliquerait et parce que la gestion de Sarge s'arrête à la fin de ce mois quoi qu'il advienne. Vous êtes vivement invité à faire la mise à jour vers la version stable si vous utilisez moinmoin.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.5.3-1.2etch1. Cette mise à jour comprend également une correction concernant le chiffrement des courriels de rappel des mots de passe. Cela n'a pas d'impact de sécurité.
Nous vous recommandons de mettre à jour votre paquet moin.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.