GLSA 200704-08: DokuWiki: Cross-site scripting vulnerability
| Опасность: | низкая |
| Заголовок: | DokuWiki: Cross-site scripting vulnerability |
| Дата: | 12.04.2007 |
| Ошибки: | |
| ID: | 200704-08 |
Сводка
DokuWiki is vulnerable to a cross-site scripting attack.Назначение
DokuWiki is a simple to use wiki aimed at creating documentation.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| www-apps/dokuwiki | < 20061106 | >= 20061106 | All supported architectures |
Описание
DokuWiki does not sanitize user input to the GET variable 'media' in the fetch.php file.
Воздействие
An attacker could entice a user to click a specially crafted link and inject CRLF characters into the variable. This would allow the creation of new lines or fields in the returned HTTP Response header, which would permit the attacker to execute arbitrary scripts in the context of the user's browser.
Обход
Replace the following line in lib/exe/fetch.php:
$MEDIA = getID('media',false); // no cleaning - maybe external
with
$MEDIA = preg_replace('/[\x00-\x1F]+/s','',getID('media',false));
Решение
All DokuWiki users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-apps/dokuwiki-20061106"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.