Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-1514-1 moin -- Mehrere Verwundbarkeiten

Datum des Berichts:

09. Mär 2008

Betroffene Pakete:

moin

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2007-2423, CVE-2007-2637, CVE-2008-0780, CVE-2008-0781, CVE-2008-0782, CVE-2008-1098, CVE-2008-1099.

Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden in MoinMoin, einem Python-Klon von WikiWiki, entdeckt. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

• CVE-2007-2423

  Eine Site-übergreifende Skripting-Verwundbarkeit wurde im Umgang mit Anhängen entdeckt.

• CVE-2007-2637

  Zugriffskontrolllisten (access control lists) für Kalender und Includes werden unzureichend sichergestellt. Dies kann zu einer Informationsenthüllung führen.

• CVE-2008-0780

  Eine Site-übergreifende Skripting-Verwundbarkeit wurde im Login-Code entdeckt.

• CVE-2008-0781

  Eine Site-übergreifende Skripting-Verwundbarkeit wurde im Umgang mit Anhängen entdeckt.

• CVE-2008-0782

  Eine Verzeichnisüberschreitungsverwundbarkeit im Umgang mit Cookies kann zu einer lokalen Diensteverweigerung (denial of service) durch Überschreiben von Dateien führen.

• CVE-2008-1098

  Mehrere Site-übergreifende Skripting-Verwundbarkeiten wurden im GUI-Editor-Formatierer und dem Code zum Löschen von Seiten gefunden.

• CVE-2008-1099

  Der Makro-Code überprüft Zugriffskontrolllisten unzureichend. Dies kann zu einer Informationsenthüllung führen.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.5.3-1.2etch1 behoben. Diese Aktualisierung enthält auch eine Fehlerkorrektur bezüglich der Kodierung von Passwort-Erinnerungs-E-Mails, die keine Sicherheitsrelevanz hat.

Die alte Stable-Distribution (Sarge) wird wegen der vielen Änderungen und, da die Unterstützung für Sarge diesen Monat sowieso ausläuft, nicht aktualisiert. Es wird empfohlen, auf die Stable-Distribution zu aktualisieren, falls Sie moinmoin nutzen.

Wir empfehlen Ihnen, Ihr moin-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (stable)

Quellcode:

http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3.orig.tar.gz

http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.diff.gz

http://security.debian.org/pool/updates/main/m/moin/moin_1.5.3-1.2etch1.dsc

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/m/moin/moinmoin-common_1.5.3-1.2etch1_all.deb

http://security.debian.org/pool/updates/main/m/moin/python-moinmoin_1.5.3-1.2etch1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein