Рекомендация Debian по безопасности

DLA-79-1 dokuwiki -- обовление безопасности LTS

Дата сообщения:
29.10.2014
Затронутые пакеты:
dokuwiki
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 766545.
В каталоге Mitre CVE: CVE-2014-8763, CVE-2014-8764.
Более подробная информация:

Данное обновление исправляет возможность обхода аутентификации в wiki, если для LDAP-аутентификации используется Active Directory. Эти два CVE почти совпадают, один явно является надмножеством другого. Они исправлены одновременно.

  • CVE-2014-8763

    DokuWiki до версии 2014-05-05b при использовании Active Directory для LDAP-аутентификации позволяет удалённым злоумышленникам обойти аутентификацию с помощью пароля, начинающегося с нулевого символа (\0) и корректного имени пользователя, что приводит к неаутентифицированному связыванию.

  • CVE-2014-8764

    DokuWiki 2014-05-05a или более ранних версий при использовании Active Directory для LDAP-аутентификации позволяет удалённым злоумышленникам обходить аутентификацию с помощью имени пользователя и пароля, начинающихся с нулевого символа (\0), что приводит к анонимному связыванию.

В Debian 6 Squeeze эти проблемы были исправлены в пакете dokuwiki версии 0.0.20091225c-10+squeeze3