Bulletin d'alerte Debian

DSA-2020-1 ikiwiki -- Vérification d'entrée manquante

Date du rapport :
20 mars 2010
Paquets concernés :
ikiwiki
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Ivan Shmakov a découvert que le composant htmlscrubber d'ikiwiki, un compilateur de wiki, ne réalise pas assez de vérification d'entrée sur les URI data:image/svg+xml. Comme elles peuvent contenir du code de script, cela peut être utilisé par un attaquant pour réaliser des attaques par script intersite.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.53.5.

Pour la distribution testing (Squeeze), ce problème a été corrigé dans la version 3.20100312.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.20100312.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5.dsc
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.