Рекомендация Debian по безопасности

DSA-2214-1 ikiwiki -- отсутствие проверки входных данных

Дата сообщения:
08.04.2011
Затронутые пакеты:
ikiwiki
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-1401.
Более подробная информация:

Tango обнаружил, что ikiwiki, компилятор вики, не выполняет проверку в случае, если дополнение htmlscrubber включено или не включено на странице при добавлении альтернативных таблиц стилей. Это позволяет злоумышленнику, способному загрузить собственные таблицы стилей, добавить некорректные таблицы стилей в качестве альтернативных, либо заменить таблицу стилей по умолчанию, выполнив таким образом атаку по принципу межсайтового скриптинга.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 2.53.6.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.20100815.7.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 3.20110328.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.20110328.

Рекомендуется обновить пакеты ikiwiki.