Debians sikkerhedsbulletin

DSA-2214-1 ikiwiki -- manglende fornuftighedskontrol af inddata

Rapporteret den:
8. apr 2011
Berørte pakker:
ikiwiki
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-1401.
Yderligere oplysninger:

Tango opdagede at ikiwiki, en wikicompiler, ikke validerede hvis htmlscrubber-plugin'en var aktiveret eller ikke på en side, når der var tilføjet et alternativt stylesheet til sider. Dermed var det muligt for en angriber, som havde mulighed for at oplægge skræddersyede stylesheets, at tilføje ondsindede stylesheets som alternativer eller udskifte standardstylesheetet, og dermed iværksætte et angreb i forbindelse med udførelse af skripter på tværs af websteder.

I den gamle stabile distribution (lenny), er dette problem rettet i version 2.53.6.

I den stabile distribution (squeeze), er dette problem rettet i version 3.20100815.7.

I distributionen testing (wheezy), er dette problem rettet i version 3.20110328.

I den ustabile distribution (sid), er dette problem rettet i version 3.20110328.

Vi anbefaler at du opgraderer dine ikiwiki-pakker.