Debians sikkerhedsbulletin

DSA-1976-1 dokuwiki -- flere sårbarheder

Rapporteret den:
22. jan 2010
Berørte pakker:
dokuwiki
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 565406.
I Mitres CVE-ordbog: CVE-2010-0287, CVE-2010-0288, CVE-2010-0289.
Yderligere oplysninger:

Flere sårbarheder er opdaget i dokuwiki, en standardkompatibel, letanvendelig wiki. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2010-0287

    Man opdagede at en intern variabel ikke blev fornuftighedskontrolleret på korrekt vis, før den blev anvendt til at vise indholdet af mapper. Det kunne udnyttes til at vise indholdet af vilkårlige mapper.

  • CVE-2010-0288

    Man opdagede at plugin'en ACL Manager ikke på korrekt vis kontrollerede administratorrettighederne. Dermed var det muligt for angribere at indføre vilkårlige ACL-regler og på den måde få adgang til en lukket wiki.

  • CVE-2010-0289

    Man opdagede at plugin'en ACL Manager manglede beskyttelse mod udførelse af forespørgsler på tværs af websteder (cross-site request forgeries, CSRF). Det kunne udnyttes til at ændre adgangskontrolreglerne, ved at narre en indlogget administrator til at besøge et ondsindet websted.

Den gamle stabile distribution (etch) er ikke påvirket af disse problemer.

I den stabile distribution (lenny), er disse problemer rettet i version 0.0.20080505-4+lenny1.

I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 0.0.20090214b-3.1.

Vi anbefaler at du opgraderer din dokuwiki-pakke.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.dsc
http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505.orig.tar.gz
http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.