受影响系统:
ikiwiki ikiwiki 2.x
不受影响系统:
ikiwiki ikiwiki 3.1415926
ikiwiki ikiwiki 2.53.4
描述:
BUGTRAQ ID: 36181
CVE(CAN) ID: CVE-2009-2944
Ikiwiki是一个wiki编译器,可将wiki页面转换为可在网站发布的HTML页面。
Ikiwiki的teximg插件没有正确地将不安全的TeX命令加入到黑名单,本地攻击者可以使用这个命令读取系统上的任意文件内容。
<*来源:Josh Triplett (josh@freedesktop.org)
链接:http://secunia.com/advisories/36516
http://ikiwiki.info/security/#index35h2
http://www.debian.org/security/2009/dsa-1875
*>
建议:
厂商补丁:
Debian
——
Debian已经为此发布了一个安全公告(DSA-1875-1)以及相应补丁:
DSA-1875-1:New ikiwiki packages fix information disclosure
链接:http://www.debian.org/security/2009/dsa-1875
补丁下载:
Source archives:
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.4.tar.gz
Size/MD5 checksum: 768022 d2ab889b5aa29ed5c4910aebc5d10c82
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.4.dsc
Size/MD5 checksum: 1095 d4c29cc8a5c5e57bf73dff92738d2383
Architecture independent packages:
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.4_all.deb
Size/MD5 checksum: 911086 6eac3777f3b38bc7e7a4a53571440b6e
补丁安装方法:
1. 手工安装补丁包:
首先,使用下面的命令来下载补丁软件:
# wget url (url是补丁下载链接地址)
然后,使用下面的命令来安装补丁:
# dpkg -i file.deb (file是相应的补丁名)
2. 使用apt-get自动安装补丁包:
首先,使用下面的命令更新内部数据库:
# apt-get update
然后,使用下面的命令安装更新软件包:
# apt-get upgrade
ikiwiki
——-
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://ftp.de.debian.org/debian/pool/main/i/ikiwiki/ikiwiki_3.1415926.tar.gz
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.4_all.deb
0 条评论。