Debian セキュリティ勧告

DSA-1371-1 phpwiki -- 複数の脆弱性

報告日時:

2007-09-11

影響を受けるパッケージ:

phpwiki

危険性:

あり

参考セキュリティデータベース:

詳細:

PHP で書かれた wiki エンジン phpwiki に複数の脆弱性が発見されました。 Common Vulnerabilities and Exposures プロジェクトでは以下の問題を認識しています:

CVE-2007-2024
phpWiki が行っているファイル名の検証が不十分であり、ファイルのアップロードを制限なく行えてしまうことが発見されました。
CVE-2007-2025
phpWiki が行っているファイル名の検証が不十分であり、ファイルのアップロードを制限なく行えてしまうことが発見されました。
CVE-2007-3193
phpwiki は、設定中で PASSWORD_LENGTH_MINIMUM をゼロ以外の値で指定しなかった場合、特定の LDAP 実装を利用していた場合に空パスワードを入力すると ldap_bind が true を返すのを利用して攻撃者がリモートから認証を迂回する可能性があります。

旧安定版ディストリビューション (oldstable、コードネーム sarge) は、phpwiki パッケージを含んでいません。

安定版ディストリビューション (stable、コードネーム etch) では、これらの問題はバージョン 1.3.12p3-5etch1 で修正されています。

不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 1.3.12p3-6.1 で修正されています。

phpwiki パッケージのアップグレードをお勧めします。

修正:

ソース:: http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.dsc; http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.diff.gz; http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。