—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-1058 – Cross-site Scripting Schwachstelle in MoinMoin

Im Parser reStructuredText (parser/test_rst.py) der Wiki-Software
MoinMoin in Version 1.9.3 und aelter werden Eingaben, die durch das
Attribut refuri uebergeben werden, nicht ausreichend auf HTML- oder
Skriptinhalte ueberprueft. Dies ermoeglicht entfernten Angreifern
beliebigen HTML- oder Skriptcode im Browser anderer Benutzer
auszufuehren. Voraussetzung ist allerdings, dass der Parser
reStructuredText verwendet wird.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket moin in Debian GNU/Linux 5.0 (lenny) vor Version 1.7.1-3+lenny6
Paket moin in Debian GNU/Linux 6.0 (squeeze) vor Version
1.9.3-1+squeeze1
Paket moin in Debian GNU/Linux unstable (sid) vor Version 1.9.3-3

Debian GNU/Linux 5.0 (lenny)
Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Torsten Voss

– —

Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2321-1 security@debian.org
http://www.debian.org/security/ Moritz Muehlenhoff
October 10, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : moin
Vulnerability : cross-site scripting
Problem type : remote
Debian-specific: no
CVE ID : CVE-2011-1058

A cross-site scriping vulnerability was discovered in the rst parser of
Moin, a Python clone of WikiWiki.

For the oldstable distribution (lenny), this problem has been fixed in
version 1.7.1-3+lenny6.

For the stable distribution (squeeze), this problem has been fixed in
version 1.9.3-1+squeeze1.

For the unstable distribution (sid), this problem has been fixed in
version 1.9.3-3.

We recommend that you upgrade your moin packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAk6TE5EACgkQXm3vHE4uylqHkACeN7qtf1T5eJQOi20l1jBhuqfL
bsYAoM/b2WGtXJcDfR0pxL0Y72sEULA4
=LZ2x
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOlA+kAAoJEJtyb8U7iGZBYmsH/RiGnXznZ6jKp9j63aHq4EgJ
mqo1Ekp3eIxBAMqCNVFvBLtFaTkS8QzS1C4qJAw8fu7SF4myJq3KHuM7mc7ljZpx
CnRifT+s++3URdKj+Uin7bnKlkIr5Oy1A9GLYOmQ1NLmVR9zgdjW8glYgiuG2dSr
S9uMMub89XXwK1s7Zl6fgM6RhU0T5hoDHyAJmAueZvSl56mOrp9M+J4FhKruvIs6
gnuKpn8KoBKAbXHLAGiBQt4ZLs6wE5U4Yjxnld4Vp1NFtm1YGVJIn/whsY7Pc9xe
AmV5Z+vwFtDXssN3e4/xcUejwrX+4J8FxP+tKfdQPCNM9nqERD9wRwPG4WkpmjQ=
=9lbc
—–END PGP SIGNATURE—–