Bulletin d'alerte Debian
DSA-1976-1 dokuwiki -- Plusieurs vulnérabilités
- Date du rapport :
- 22 janvier 2010
- Paquets concernés :
- dokuwiki
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 565406.
Dans le dictionnaire CVE du Mitre : CVE-2010-0287, CVE-2010-0288, CVE-2010-0289. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans DokuWiki, un wiki conforme aux standards et simple à utiliser. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2010-0287
On a découvert qu'une variable interne n'est pas correctement vérifiée avant d'être utilisée pour obtenir la liste des répertoires. Cela peut être exploité pour obtenir la liste du contenu de répertoires arbitraires.
- CVE-2010-0288
On a découvert que le greffon de gestion d'ACL ne vérifie pas correctement des permissions de l'administrateur. Cela permet à un attaquant d'introduire des règles ACL arbitraires et ainsi accéder à un wiki fermé.
- CVE-2010-0289
On a découvert que le greffon de gestion d'ACL n'a pas de protection contre les contrefaçons de requête intersite (CSRF). Cela peut être exploité pour modifier les règles de contrôle d'accès en amenant par ruse un administrateur connecté à visiter un site web malveillant.
La distribution oldstable (Etch) n'est pas concernée par ces problèmes.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 0.0.20080505-4+lenny1.
Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.0.20090214b-3.1.
Nous vous recommandons de mettre à jour votre paquet dokuwiki.
- CVE-2010-0287
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.dsc
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.