Bulletin d'alerte Debian
DSA-2020-1 ikiwiki -- Vérification d'entrée manquante
- Date du rapport :
- 20 mars 2010
- Paquets concernés :
- ikiwiki
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
-
Ivan Shmakov a découvert que le composant htmlscrubber d'ikiwiki, un compilateur de wiki, ne réalise pas assez de vérification d'entrée sur les URI data:image/svg+xml. Comme elles peuvent contenir du code de script, cela peut être utilisé par un attaquant pour réaliser des attaques par script intersite.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 2.53.5.
Pour la distribution testing (Squeeze), ce problème a été corrigé dans la version 3.20100312.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.20100312.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5.dsc
- http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5.tar.gz
- http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.