Bulletin d'alerte Debian

DSA-2214-1 ikiwiki -- Validations des entrées insuffisantes

Date du rapport :
8 avril 2011
Paquets concernés :
ikiwiki
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-1401.
Plus de précisions :

Tango a découvert qu'ikiwiki, un compilateur wiki, ne valide pas si le greffon htmlscrubber est activé ou non sur une page lors de l'ajout de feuilles de style aux pages. Cela permet à un attaquant capable d'envoyer des feuilles de style personnalisées d'ajouter des feuilles de style alternatives malveillantes, ou de remplacer la feuille de style par défaut, et ainsi permettre des attaques par script intersite.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 2.53.6.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.20100815.7.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 3.20110328.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.20110328.

Nous vous recommandons de mettre à jour vos paquets ikiwiki.