WikiWiki の python によるクローン MoinMoin に、リモートから攻撃可能な 複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
添付ファイル処理にクロスサイトスクリプティングバグが発見されました。
カレンダーと include に対する、アクセス制御リストによる制限が不十 分で、情報漏洩の可能性があります。
ログイン処理にクロスサイトスクリプティングバグが発見されました。
添付ファイル処理にクロスサイトスクリプティングバグが発見されました。
クッキー処理コードにディレクトリトラバーサル欠陥があり、ローカルから ファイルの上書きによるサービス拒否攻撃が可能です。
GUI エディタフォーマッタと、ページを削除する処理にクロスサイトスクリ プティングバグが発見されました。
マクロコードがアクセス制御リストを不十分にしか検証していないため、情 報漏洩の可能性があります。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.5.3-1.2etch1 で修正されています。この更新では、セキュリティとは関 係がありませんが、パスワードリマインダメールのエンコーディングの誤りのバ グ修正も行われています。
旧安定版 (Sarge) の更新は行いません。これは、修正量が多いのと、Sarge の セキュリティ更新はいずれにせよ今月末までだからです。MoinMoin を走らせて いるなら、安定版への更新を推奨します。
直ぐに moin パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。