Debians sikkerhedsbulletin
DSA-1976-1 dokuwiki -- flere sårbarheder
- Rapporteret den:
- 22. jan 2010
- Berørte pakker:
- dokuwiki
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 565406.
I Mitres CVE-ordbog: CVE-2010-0287, CVE-2010-0288, CVE-2010-0289. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i dokuwiki, en standardkompatibel, letanvendelig wiki. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2010-0287
Man opdagede at en intern variabel ikke blev fornuftighedskontrolleret på korrekt vis, før den blev anvendt til at vise indholdet af mapper. Det kunne udnyttes til at vise indholdet af vilkårlige mapper.
- CVE-2010-0288
Man opdagede at plugin'en ACL Manager ikke på korrekt vis kontrollerede administratorrettighederne. Dermed var det muligt for angribere at indføre vilkårlige ACL-regler og på den måde få adgang til en lukket wiki.
- CVE-2010-0289
Man opdagede at plugin'en ACL Manager manglede beskyttelse mod udførelse af forespørgsler på tværs af websteder (cross-site request forgeries, CSRF). Det kunne udnyttes til at ændre adgangskontrolreglerne, ved at narre en indlogget administrator til at besøge et ondsindet websted.
Den gamle stabile distribution (etch) er ikke påvirket af disse problemer.
I den stabile distribution (lenny), er disse problemer rettet i version 0.0.20080505-4+lenny1.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 0.0.20090214b-3.1.
Vi anbefaler at du opgraderer din dokuwiki-pakke.
- CVE-2010-0287
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.dsc
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.