Säkerhetsbulletin från Debian

DSA-1976-1 dokuwiki -- flera sårbarheter

Rapporterat den:

2010-01-22

Berörda paket:

dokuwiki

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 565406.
I Mitres CVE-förteckning: CVE-2010-0287, CVE-2010-0288, CVE-2010-0289.

Ytterligare information:

Flera sårbarheter har upptäckts i dokuwiki, a standardföljande och lättanvänd wiki. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2010-0287
Det upptäcktes att en intern variabel inte städas tillräckligt innan den används för att lista kataloger. Detta kan utnyttjas för att lista innehållet i godtyckliga kataloger.
CVE-2010-0288
Det upptäcktes att insticksdelen ACL Manager inte kontrollerar administratörsrättigheter tillräckligt. Detta tillåter en angripare att introducera godtyckliga ACL-regler och på så sätt få tillgång till en stängd wiki.
CVE-2010-0289
Det upptäcktes att insticksdelen ACL Manager inte skyddar mot serveröverskridande förfrågeförfalskningar (CSRF). Detta kan utnyttjas för att ändra åtkomstkontrollregler genom att lura en inloggad administratör att besöka en illvillig webbplats.

Den gamla stabila utgåvan (Etch) påverkas inte av dessa problem.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 0.0.20080505-4+lenny1.

För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 0.0.20090214b-3.1.

Vi rekommenderar att ni uppgraderar ert dokuwiki-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:: http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.dsc; http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505.orig.tar.gz; http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1.diff.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/d/dokuwiki/dokuwiki_0.0.20080505-4+lenny1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.