Рекомендация Debian по безопасности

DSA-2024-1 moin -- недостаточная очистка ввода

Дата сообщения:
31.03.2010
Затронутые пакеты:
moin
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 575995.
В каталоге Mitre CVE: CVE-2010-0828.
Более подробная информация:

Джеми Стрэндбойдж обнаружил, что moin, клон WikiWiki на языке Python, выполняет недостаточную очистку имени страницы в действии "Despam", что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового скриптнга (XSS).

Кроме того, данное обновление исправляет небольшую проблему в защите "textcha", которую можно было легко обойти путём отправки пустых полей форм "textcha-question" и "textcha-answer".

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.7.1-3+lenny4.

В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы будут исправлены позже.

Рекомендуется обновить пакет moin.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1.orig.tar.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1-3+lenny4.diff.gz
http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1-3+lenny4.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.7.1-3+lenny4_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.