Debian セキュリティ勧告

DLA-79-1 dokuwiki -- LTS セキュリティ更新

報告日時:
2014-10-29
影響を受けるパッケージ:
dokuwiki
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 766545.
Mitre の CVE 辞書: CVE-2014-8763, CVE-2014-8764.
詳細:

LDAP 認証に Active Directory が利用されている場合に wiki の認証を迂回できる可能性を修正しています。以下の CVE 2件はほぼ同一で一方は他方の上位集合となっています。ともに修正されています。

  • CVE-2014-8763

    DokuWiki 2014-05-05b 以前では、LDAP 認証に Active Directory を利用している場合に有効なユーザ名と null (\0) 文字から始まるパスワードを経由してリモートの攻撃者に認証の迂回を許します。 非認証バインドを引き起こします。

  • CVE-2014-8764

    DokuWiki 2014-05-05a 及びそれ以前では、LDAP 認証に Active Directory を利用している場合に null (\0) 文字から始まるユーザ名及びパスワードを経由してリモートの攻撃者に認証の迂回を許します。 匿名バインドを引き起こします。

Debian 6Squeezeでは、この問題は dokuwiki バージョン 0.0.20091225c-10+squeeze3 で修正されています。