Рекомендация Debian по безопасности
DSA-2024-1 moin -- недостаточная очистка ввода
- Дата сообщения:
- 31.03.2010
- Затронутые пакеты:
- moin
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 575995.
В каталоге Mitre CVE: CVE-2010-0828. - Более подробная информация:
-
Джеми Стрэндбойдж обнаружил, что moin, клон WikiWiki на языке Python, выполняет недостаточную очистку имени страницы в действии "Despam", что позволяет удалённым злоумышленникам выполнять атаки по принципу межсайтового скриптнга (XSS).
Кроме того, данное обновление исправляет небольшую проблему в защите "textcha", которую можно было легко обойти путём отправки пустых полей форм "textcha-question" и "textcha-answer".
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.7.1-3+lenny4.
В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы будут исправлены позже.
Рекомендуется обновить пакет moin.
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1-3+lenny4.diff.gz
- http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1-3+lenny4.dsc
- http://security.debian.org/pool/updates/main/m/moin/moin_1.7.1-3+lenny4.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.7.1-3+lenny4_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.