Lucene search

K
seebugRootSSV:12171
HistorySep 02, 2009 - 12:00 a.m.

ikiwiki teximg插件不安全TeX命令信息泄露漏洞

2009-09-0200:00:00
Root
www.seebug.org
11

0.005 Low

EPSS

Percentile

76.8%

BUGTRAQ ID: 36181
CVE(CAN) ID: CVE-2009-2944

Ikiwiki是一个wiki编译器,可将wiki页面转换为可在网站发布的HTML页面。

Ikiwiki的teximg插件没有正确地将不安全的TeX命令加入到黑名单,本地攻击者可以使用这个命令读取系统上的任意文件内容。

ikiwiki 2.x
厂商补丁:

Debian

Debian已经为此发布了一个安全公告(DSA-1875-1)以及相应补丁:
DSA-1875-1:New ikiwiki packages fix information disclosure
链接:http://www.debian.org/security/2009/dsa-1875

补丁下载:

Source archives:

http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.4.tar.gz
Size/MD5 checksum: 768022 d2ab889b5aa29ed5c4910aebc5d10c82
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.4.dsc
Size/MD5 checksum: 1095 d4c29cc8a5c5e57bf73dff92738d2383

Architecture independent packages:

http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.4_all.deb
Size/MD5 checksum: 911086 6eac3777f3b38bc7e7a4a53571440b6e

补丁安装方法:

  1. 手工安装补丁包:

首先,使用下面的命令来下载补丁软件:

wget url (url是补丁下载链接地址)

然后,使用下面的命令来安装补丁:

dpkg -i file.deb (file是相应的补丁名)

  1. 使用apt-get自动安装补丁包:

    首先,使用下面的命令更新内部数据库:

    apt-get update

    然后,使用下面的命令安装更新软件包:

    apt-get upgrade

ikiwiki

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://ftp.de.debian.org/debian/pool/main/i/ikiwiki/ikiwiki_3.1415926.tar.gz
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.4_all.deb