Bulletin d'alerte Debian

DSA-2024-1 moin -- Vérification d'entrée manquante

Date du rapport :
31 mars 2010
Paquets concernés :
moin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 575995.
Dans le dictionnaire CVE du Mitre : CVE-2010-0828.
Plus de précisions :

Jamie Strandboge a découvert que Moin, un clone en Python de WikiWiki, ne vérifie pas suffisamment le nom de page dans l'action Despam, permettant aux attaquants distants de réaliser des attaques de script intersite (XSS).

De plus, cette mise à jour corrige un problème mineur dans la protection textcha, qui pourrait être contournée de façon triviale en effaçant les champs textcha-question et textcha-answer du formulaire.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.7.1-3+lenny4.

Pour les distributions testing (Squeeze) et unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour votre paquet moin.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1.orig.tar.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1-3+lenny4.diff.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1-3+lenny4.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.7.1-3+lenny4_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.