Рекомендация Debian по безопасности
DSA-1976-1 dokuwiki -- несколько уязвимостей
- Дата сообщения:
- 22.01.2010
- Затронутые пакеты:
- dokuwiki
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 565406.
В каталоге Mitre CVE: CVE-2010-0287, CVE-2010-0288, CVE-2010-0289. - Более подробная информация:
-
В dokuwiki, простой в использовании и соответствующей стандартам реализации вики, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2010-0287
Было обнаружено, что внутренняя переменная неправильно очищается до её использования для вывода списка содержимого каталогов. Эта уязвимость может использоваться для вывода списка содержимого произвольных каталогов.
- CVE-2010-0288
Было обнаружено, что дополнение ACL Manager неправильно выполняет проверку прав доступа администратора. Это позволяет злоумышленнику добавлять произвольные ACL-правила и получать доступ к закрытой вики.
- CVE-2010-0289
Было обнаружено, что дополнение ACL не имеет защиты от подделки межсайтовых запросов (CSRF). Эта уязвимость может использоваться для изменения правил доступа в случае, если вошедший в вики администратор откроет подконтрольный злоумышленнику веб-сайт.
Предыдущий стабильный выпуске (etch) не подвержен этим проблемам.
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 0.0.20080505-4+lenny1.
В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 0.0.20090214b-3.1.
Рекомендуется обновить пакет dokuwiki.
- CVE-2010-0287
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.dsc
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505.orig.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.