GLSA 200407-09: MoinMoin: Group ACL bypass

Опасность:	средняя
Заголовок:	MoinMoin: Group ACL bypass
Дата:	11.07.2004
Ошибки:	#53126
ID:	200407-09

Сводка

MoinMoin contains a bug allowing a user to bypass group ACLs (Access Control Lists).

Назначение

MoinMoin is a Python clone of WikiWiki, based on PikiPiki.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
www-apps/moinmoin	<= 1.2.1	>= 1.2.2	All supported architectures

Описание

MoinMoin contains a bug in the code handling administrative group ACLs. A user created with the same name as an administrative group gains the privileges of the administrative group.

Воздействие

If an administrative group called AdminGroup existed an attacker could create a user called AdminGroup and gain the privileges of the group AdminGroup. This could lead to unauthorized users gaining administrative access.

Обход

For every administrative group with special privileges create a user with the same name as the group.

Решение

All users should upgrade to the latest available version of MoinMoin, as follows:

    # emerge sync
    
    # emerge -pv ">=www-apps/moinmoin-1.2.2"
    # emerge ">=www-apps/moinmoin-1.2.2"

Ссылки

• MoinMoin Announcement
• OSVDB Entry
• CVE-2004-0708

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200407-09.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.