Debian セキュリティ勧告

DSA-2020-1 ikiwiki -- 入力の不十分なサニタイズ

報告日時:
2010-03-20
影響を受けるパッケージ:
ikiwiki
危険性:
あり
参考セキュリティデータベース:
現時点では、その他の外部参考セキュリティデータベースはありません。
詳細:

Ivan Shmakov さんにより、wiki コンパイラ ikiwiki の htmlscrubber コンポ ーネントが入力の適切なサニタイズを data:image/svg+xml URI に対して行っ ていないことが発見されました。この欠陥のために、攻撃者からクロスサイト スクリプティング攻撃に悪用可能なスクリプトコードを含ませることが可能で す。

安定版 (stable) ディストリビューション (lenny) では、この問題はバージョ ン 2.53.5 で修正されています。

テスト版ディストリビューション (squeeze) では、この問題はバージョン 3.20100312 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージ ョン 3.20100312 で修正されています。

修正:

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5.dsc
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。