Otkriveni su i ispravljeni sigurnosni nedostaci u programskom paketu DokuWiki. Udaljeni zlonamjerni napadači su navedene propuste mogli iskoristiti za umetanje HTML i skriptnog koda, te izvršavanje proizvoljnog programskog koda s povećanim privilegijama.
Paket:
dokuwiki 0.x
Operacijski sustavi:
Fedora 15
Kritičnost:
3.7
Problem:
CSRF, XSS
Iskorištavanje:
udaljeno
Posljedica:
dobivanje većih privilegija, proizvoljno izvršavanje programskog koda, umetanje HTML i skriptnog koda
Rješenje:
programska zakrpa proizvođača
CVE:
CVE-2012-2129, CVE-2012-2128
Izvorni ID preporuke:
FEDORA-2012-6630
Izvor:
Fedora
Problem:
U radu programa uočene su XSS (eng. Cross-site Scripting) i CSRF (eng. Cross-site Request Forgery) ranjivosti.
Posljedica:
Napadači mogu iskoristiti ranjivosti za umetanje HTML i skriptnog koda te proizvoljno pokretanje programskog koda s privilegijama prijavljenog dokuwiki korisnika.
Rješenje:
Svim se korisnicima preporuča primjena nadogradnje.
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2012-6630
2012-04-26 03:07:16
--------------------------------------------------------------------------------
Name : dokuwiki
Product : Fedora 15
Version : 0
Release : 0.10.20110525.a.fc15
URL : http://www.dokuwiki.org/dokuwiki
Summary : Standards compliant simple to use wiki
Description :
DokuWiki is a standards compliant, simple to use Wiki, mainly aimed at creating
documentation of any kind. It has a simple but powerful syntax which makes sure
the datafiles remain readable outside the Wiki and eases the creation of
structured texts.
All data is stored in plain text files no database is required.
--------------------------------------------------------------------------------
Update Information:
Fix XSS Flaw
--------------------------------------------------------------------------------
ChangeLog:
* Tue Apr 24 2012 Andrew Colin Kissa <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 0-0.10.20110525.a
- Fix CVE-2012-2129
- Fix Bugzilla bugs #815123
* Tue Jun 28 2011 Andrew Colin Kissa <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 0-0.9.20110525.a
- Upgrade to latest upstream
- Fix Bugzilla bugs #717146, #717149, #717148, #715569
--------------------------------------------------------------------------------
References:
[ 1 ] Bug #815122 - CVE-2012-2128 CVE-2012-2129 dokuwiki: XSS and CSRF due
improper escaping of 'target' parameter in preprocessing edit form data
https://bugzilla.redhat.com/show_bug.cgi?id=815122
--------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update dokuwiki' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------
_______________________________________________
package-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
https://admin.fedoraproject.org/mailman/listinfo/package-announce
Posljednje sigurnosne preporuke