Bulletin d'alerte Debian

DSA-1514-1 moin -- Plusieurs vulnérabilités

Date du rapport :
9 mars 2008
Paquets concernés :
moin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2007-2423, CVE-2007-2637, CVE-2008-0780, CVE-2008-0781, CVE-2008-0782, CVE-2008-1098, CVE-2008-1099.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans MoinMoin, un clone en Python de WikiWiki. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

  • CVE-2007-2423

    Une vulnérabilité de script intersite a été découverte dans la gestion des fichiers joints.

  • CVE-2007-2637

    Les listes de contrôle d'accès pour les calendriers et les inclusions n'étaient pas suffisamment bien appliquées. Cela peut conduire à divulguer des informations.

  • CVE-2008-0780

    Une vulnérabilité de script intersite a été découverte dans le code de connexion.

  • CVE-2008-0781

    Une vulnérabilité de script intersite a été découverte dans la gestion des fichiers joints.

  • CVE-2008-0782

    Une vulnérabilité de traversée de répertoires dans la gestion des cookies peut conduire à un déni de service local par écrasement de fichiers.

  • CVE-2008-1098

    Une vulnérabilité de script intersite a été découverte dans le moteur de formatage de l'éditeur de l'interface utilisateur et dans le code de suppression de pages.

  • CVE-2008-1099

    Le code macro ne valide pas suffisamment les listes de contrôle d'accès. Cela peut conduire à divulguer des informations.

L'ancienne distribution stable (Sarge) ne sera pas mise à jour à cause des nombreuses modifications que cela impliquerait et parce que la gestion de Sarge s'arrête à la fin de ce mois quoi qu'il advienne. Vous êtes vivement invité à faire la mise à jour vers la version stable si vous utilisez moinmoin.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.5.3-1.2etch1. Cette mise à jour comprend également une correction concernant le chiffrement des courriels de rappel des mots de passe. Cela n'a pas d'impact de sécurité.

Nous vous recommandons de mettre à jour votre paquet moin.

Corrigé dans :

Debian GNU/Linux 4.0 (stable)

Source :
http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3.orig.tar.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.diff.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/moin/moinmoin-common_1.5.3-1.2etch1_all.deb
http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.5.3-1.2etch1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.