Bulletin d'alerte Debian
DSA-1371-1 phpwiki -- Plusieurs vulnérabilités
- Date du rapport :
- 11 septembre 2007
- Paquets concernés :
- phpwiki
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 429201, Bogue 441390.
Dans le dictionnaire CVE du Mitre : CVE-2007-2024, CVE-2007-2025, CVE-2007-3193. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans phpWiki, un moteur de wiki écrit en PHP. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2007-2024
On a découvert que phpWiki ne réalisait pas de validation suffisante des noms de fichiers, cela permet le téléchargement de fichiers sans restriction.
- CVE-2007-2025
On a découvert que phpWiki ne réalisait pas de validation suffisante des noms de fichiers, cela permet le téléchargement de fichiers sans restriction.
- CVE-2007-3193
Si PASSWORD_LENGTH_MINIMUM manque avec une valeur non nulle dans la configuration, phpWiki peut permettre à des attaquants distants de contourner l'authentification par l'intermédiaire d'un mot de passe vide, cela fait retourner une valeur vraie à ldap_bind lorsqu'il est utilisé avec certaines implantations de LDAP.
L'ancienne distribution stable (Sarge) ne contient pas de paquets phpwiki.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.3.12p3-5etch1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.3.12p3-6.1.
Nous vous recommandons de mettre à jour votre paquet phpwiki.
- CVE-2007-2024
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.dsc
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.diff.gz
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.