Debian セキュリティ勧告

DSA-2214-1 ikiwiki -- 入力の正当性チェック漏れ

報告日時:
2011-04-08
影響を受けるパッケージ:
ikiwiki
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-1401.
詳細:

Tango さんにより、wiki コンパイラ ikiwiki が、htmlscrubber プラグイ ンが有効な場合、またはページに対する代替スタイルシート追加の際に当該 ページ上にいない場合、検証を行っていないことが発見されました。これに より、攻撃者が代替スタイルシートとして不正な内容を含んだスタイルシー トを、カスタムスタイルシートまたは標準スタイルシートの置き換えとして アップロード可能で、結果としてクロスサイトスクリプティング攻撃が行え ます。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 2.53.6 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバ ージョン 3.20100815.7 で修正されています。

テスト版ディストリビューション (wheezy) では、この問題はバージョン 3.20110328 で修正されています。

テスト版ディストリビューション (sid) では、この問題はバージョン 3.20110328 で修正されています。

直ぐに ikiwiki パッケージをアップグレードすることを勧めます。