Bulletin d'alerte Debian
DSA-1514-1 moin -- Plusieurs vulnérabilités
- Date du rapport :
- 9 mars 2008
- Paquets concernés :
- moin
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2007-2423, CVE-2007-2637, CVE-2008-0780, CVE-2008-0781, CVE-2008-0782, CVE-2008-1098, CVE-2008-1099.
- Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans MoinMoin, un clone en Python de WikiWiki. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2007-2423
Une vulnérabilité de script intersite a été découverte dans la gestion des fichiers joints.
- CVE-2007-2637
Les listes de contrôle d'accès pour les calendriers et les inclusions n'étaient pas suffisamment bien appliquées. Cela peut conduire à divulguer des informations.
- CVE-2008-0780
Une vulnérabilité de script intersite a été découverte dans le code de connexion.
- CVE-2008-0781
Une vulnérabilité de script intersite a été découverte dans la gestion des fichiers joints.
- CVE-2008-0782
Une vulnérabilité de traversée de répertoires dans la gestion des cookies peut conduire à un déni de service local par écrasement de fichiers.
- CVE-2008-1098
Une vulnérabilité de script intersite a été découverte dans le moteur de formatage de l'éditeur de l'interface utilisateur et dans le code de suppression de pages.
- CVE-2008-1099
Le code macro ne valide pas suffisamment les listes de contrôle d'accès. Cela peut conduire à divulguer des informations.
L'ancienne distribution stable (Sarge) ne sera pas mise à jour à cause des nombreuses modifications que cela impliquerait et parce que la gestion de Sarge s'arrête à la fin de ce mois quoi qu'il advienne. Vous êtes vivement invité à faire la mise à jour vers la version stable si vous utilisez moinmoin.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.5.3-1.2etch1. Cette mise à jour comprend également une correction concernant le chiffrement des courriels de rappel des mots de passe. Cela n'a pas d'impact de sécurité.
Nous vous recommandons de mettre à jour votre paquet moin.
- CVE-2007-2423
- Corrigé dans :
-
Debian GNU/Linux 4.0 (stable)
- Source :
- http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.dsc
- http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/moin/moinmoin-common_1.5.3-1.2etch1_all.deb
- http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.5.3-1.2etch1_all.deb
- http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.5.3-1.2etch1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.