https://opennet.ru/openforum/vsluhforumID3/88022.html В написанном на языке Python wiki-движке MoinMoin (http://moinmo.in) найдена (http://permalink.gmane.org/gmane.comp.security.oss.general/9042) уязвимость, позволяющая организовать удалённое выполнение кода на сервере. Проблема проявляется только в ветке MoinMoin 1.9.x и вызвана ошибками в модулях AnyWikiDraw (action/anywikidraw.py), TWikiDraw<br>(action/twikidraw.py) и AttachFile (action/AttachFile.py) из-за недостаточной проверки входных параметров, которые используются в файловых путях (классическая уязвимость через передачу конструкции вида "../../filename" через параметры target и attachment). <br><br><br>Проблемы исправлена (http://moinmo.in/MoinMoinWiki/Announcement) в выпуске MoinMoin 1.9.6, исправление также доступно в виде патчей (1 (http://hg.moinmo.in/moin/1.9/rev/7e7e1cbb9d3f), 2 (http://hg.moinmo.in/moin/1.9/rev/3c27131a3c52)).<br><br>URL: http://permalink.gmane.org/gmane.comp.security.oss.general/9042<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=35724<br> https://opennet.ru/openforum/vsluhforumID3/88022.html#17 Sat, 05 Jan 2013 22:30:25 GMT вы бы в код этих "плагинов" заглянули<br> https://opennet.ru/openforum/vsluhforumID3/88022.html#16 Wed, 02 Jan 2013 09:07:52 GMT А что там особенного с точки зрения редактора?<br> https://opennet.ru/openforum/vsluhforumID3/88022.html#15 Tue, 01 Jan 2013 01:47:51 GMT &gt; У вас батхерт. Это в медиавики контент выглядит как полный крап <br><br>Не согласен, вон на википедии вполне функционально и симпатично сделано, например. Moinmoin до этого - как раком до китая.<br><br>&gt; на фоне современных версий moinmoin. И пользоваться этой кривой поделкой <br>&gt; вообще неудобно, moinmoin в пять раз юзаюельнее и фич в 10 раз больше. <br><br>Да нифига. MediaWiki конечно переросток и грабель с точки зрения админа с ней много, но за это она наворочена и фичаста.<br> https://opennet.ru/openforum/vsluhforumID3/88022.html#14 Tue, 01 Jan 2013 01:46:14 GMT С точки зрения редактора - лучше не видел. А если упрощать жизнь админу - тогда админ и будет вам вику редактировать. Если будет.<br> https://opennet.ru/openforum/vsluhforumID3/88022.html#13 Mon, 31 Dec 2012 00:35:38 GMT Воистину. Небольшая, удобная в настройке и мощная. И с человеческой системой утсановки и мониторинга плагинов.<br><br>Что до питона - то глядел недавно http://code.google.com/p/django-simple-wiki/ - написана куда более по-человечески, чем MoinMoin...<br> https://opennet.ru/openforum/vsluhforumID3/88022.html#12 Sun, 30 Dec 2012 19:02:13 GMT &gt; теперь точно перетащу всю базу в медиавику... <br><br>ну да.. самое время.. когда уязвимость *уже* исправили!<br><br>&lt;/sarcasm&gt; :-)<br> https://opennet.ru/openforum/vsluhforumID3/88022.html#11 Sun, 30 Dec 2012 18:31:13 GMT &gt; У вас батхерт. Это в moinmoin контент выглядит как полный крап на <br>&gt; фоне современных версий медиавики. И пользоваться этой кривой поделкой вообще неудобно, <br>&gt; медиавики в пять раз юзаюельнее и фич в 10 раз больше.<br><br>У вас батхерт. Это в медиавики контент выглядит как полный крап на фоне современных версий moinmoin. И пользоваться этой кривой поделкой вообще неудобно, moinmoin в пять раз юзаюельнее и фич в 10 раз больше.<br> https://opennet.ru/openforum/vsluhforumID3/88022.html#10 Sun, 30 Dec 2012 18:29:54 GMT &gt; Вон на википедии - симпатичненькая такая штука, всю планету обслуживает.<br><br>Не аргумент. Возможность растянуть на сотни серверов и прикрутить сотни костылей - еще не означает, что продукт лучший в своем роде.<br> https://opennet.ru/openforum/vsluhforumID3/88022.html#9 Sun, 30 Dec 2012 18:10:00 GMT Медиавики самая распиаренная - это не отнять. Но далеко не самая удобная. Удобней докувики ничего пока не нашел. Сравнить например элементарные вещи типа добавить или удалить пользователя, запретить регистрацию, установить плагин и все такое. Медиавики тут с грохотом пролетает - это монстр, расчитанный под монструозные задачи типа википедии. В качестве небольшой вики докувики заруливает и медиавики и мойнмойн.<br>