Bulletin d'alerte Debian

DLA-79-1 dokuwiki -- Mise à jour de sécurité pour LTS

Date du rapport :
29 octobre 2014
Paquets concernés :
dokuwiki
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 766545.
Dans le dictionnaire CVE du Mitre : CVE-2014-8763, CVE-2014-8764.
Plus de précisions :

Cette mise à jour corrige une possibilité de contournement de l’authentification du wiki lorsque Active Directory est utilisé pour l’authentification LDAP. Ces deux CVE sont presque identiques, un étant apparemment un sur-ensemble de l’autre. Ils sont corrigés en même temps.

  • CVE-2014-8763

    DokuWiki avant 2014-05-05b, lorsque Active Directory est utilisé pour l’authentification LDAP, permet à des attaquants distants de contourner l’authentification à l'aide d'un mot de passe débutant par un caractère nul (\0) et un nom d’utilisateur valable, déclenchant une liaison non authentifiée.

  • CVE-2014-8764

    DokuWiki 2014-05-05a et précédents, lorsque Active Directory est utilisé pour l’authentification LDAP, permet à des attaquants distants de contourner l’authentification à l'aide d’un nom d’utilisateur et un mot de passe débutant avec un caractère nul (\0), déclenchant une liaison anonyme.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans dokuwiki, version 0.0.20091225c-10+squeeze3