Рекомендация Debian по безопасности

DSA-1976-1 dokuwiki -- несколько уязвимостей

Дата сообщения:
22.01.2010
Затронутые пакеты:
dokuwiki
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 565406.
В каталоге Mitre CVE: CVE-2010-0287, CVE-2010-0288, CVE-2010-0289.
Более подробная информация:

В dokuwiki, простой в использовании и соответствующей стандартам реализации вики, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2010-0287

    Было обнаружено, что внутренняя переменная неправильно очищается до её использования для вывода списка содержимого каталогов. Эта уязвимость может использоваться для вывода списка содержимого произвольных каталогов.

  • CVE-2010-0288

    Было обнаружено, что дополнение ACL Manager неправильно выполняет проверку прав доступа администратора. Это позволяет злоумышленнику добавлять произвольные ACL-правила и получать доступ к закрытой вики.

  • CVE-2010-0289

    Было обнаружено, что дополнение ACL не имеет защиты от подделки межсайтовых запросов (CSRF). Эта уязвимость может использоваться для изменения правил доступа в случае, если вошедший в вики администратор откроет подконтрольный злоумышленнику веб-сайт.

Предыдущий стабильный выпуске (etch) не подвержен этим проблемам.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 0.0.20080505-4+lenny1.

В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 0.0.20090214b-3.1.

Рекомендуется обновить пакет dokuwiki.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.dsc
http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505.orig.tar.gz
http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.