Säkerhetsbulletin från Debian

DSA-2014-1 moin -- flera sårbarheter

Rapporterat den:
2010-03-12
Berörda paket:
moin
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 569975.
I Mitres CVE-förteckning: CVE-2010-0668, CVE-2010-0669, CVE-2010-0717.
Ytterligare information:

Flera sårbarheter har upptäckts i moin, en pythonklon av WikiWiki. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2010-0668

    Flera säkerhetsproblem i MoinMoin relaterade till konfigurationer som har en icke-tom superanvändarlista, aktiverad xmlrpc, aktiverad SyncPages eller konfigurerad OpenID.

  • CVE-2010-0669

    MoinMoin städar inte användarprofiler korrekt.

  • CVE-2010-0717

    Standardkonfigureringen av cfg.packagepages_actions_excluded i MoinMoin hindrar inte osäkra pakethandlingar.

Dessutom rättar denna uppdatering ett fel vid behandling av hierarkiska ACL:er, som kan utnyttjas för att komma åt begränsade undersidor.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 1.7.1-3+lenny3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.9.2-1 och rättelserna kommer migrea till uttestningsutgåvan (Squeeze) inom kort.

Vi rekommenderar att ni uppgraderar ert moin-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1-3+lenny3.dsc
http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1.orig.tar.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1-3+lenny3.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.7.1-3+lenny3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.