The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в MoinMoin Wiki

30.12.2012 09:29

В написанном на языке Python wiki-движке MoinMoin найдена уязвимость, позволяющая организовать удалённое выполнение кода на сервере. Проблема проявляется только в ветке MoinMoin 1.9.x и вызвана ошибками в модулях AnyWikiDraw (action/anywikidraw.py), TWikiDraw (action/twikidraw.py) и AttachFile (action/AttachFile.py) из-за недостаточной проверки входных параметров, которые используются в файловых путях (классическая уязвимость через передачу конструкции вида "../../filename" через параметры target и attachment). Проблемы исправлена в выпуске MoinMoin 1.9.6, исправление также доступно в виде патчей (1, 2).

  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/35724-moinmoin
Ключевые слова: moinmoin, wiki, security
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, deadless (ok), 19:29, 30/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    вот паралельно с MoinMoin юзаю MediaWiki и медиавика не оставляет никаких шансов мойну по количеству фич и плагинов, теперь точно перетащу всю базу в медиавику...
     
     
  • 2.5, all_glory_to_the_hypnotoad (ok), 19:45, 30/12/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    эти плагины особо не нужны и контент в медиавики выглядид как дерьмо. С точки зрения дизайна/вёрстки/юзабилити MM весьма хорош и оставляет медиавики в заднице. Да и не только MM оставлет в заднице медиавики.
     
     
  • 3.7, Аноним (-), 21:46, 30/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    У вас батхерт. Это в moinmoin контент выглядит как полный крап на фоне современных версий медиавики. И пользоваться этой кривой поделкой вообще неудобно, медиавики в пять раз юзаюельнее и фич в 10 раз больше. И если раньше питонисты что-то там вякали насчет дырок в PHP крапе то теперь им придется помалкивать в тряпочку. Хотя всем кто с головным мозгом и так было очевидно что баги можно сажать на любом ЯП, поскольку программирует программист а не ЯП.
     
     
  • 4.11, Аноним (-), 22:31, 30/12/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > У вас батхерт. Это в moinmoin контент выглядит как полный крап на
    > фоне современных версий медиавики. И пользоваться этой кривой поделкой вообще неудобно,
    > медиавики в пять раз юзаюельнее и фич в 10 раз больше.

    У вас батхерт. Это в медиавики контент выглядит как полный крап на фоне современных версий moinmoin. И пользоваться этой кривой поделкой вообще неудобно, moinmoin в пять раз юзаюельнее и фич в 10 раз больше.

     
     
  • 5.15, Аноним (-), 05:47, 01/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > У вас батхерт. Это в медиавики контент выглядит как полный крап

    Не согласен, вон на википедии вполне функционально и симпатично сделано, например. Moinmoin до этого - как раком до китая.

    > на  фоне современных версий moinmoin. И пользоваться этой кривой поделкой
    > вообще неудобно, moinmoin в пять раз юзаюельнее и фич в 10 раз больше.

    Да нифига. MediaWiki конечно переросток и грабель с точки зрения админа с ней много, но за это она наворочена и фичаста.

     
  • 2.12, Xasd (ok), 23:02, 30/12/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > теперь точно перетащу всю базу в медиавику...

    ну да.. самое время.. когда уязвимость *уже* исправили!

    </sarcasm> :-)

     
  • 2.17, slav0nic (?), 02:30, 06/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    вы бы в код этих "плагинов" заглянули
     

  • 1.6, Аноним (-), 21:13, 30/12/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не парьтесь, ребята, самый торт это докувики
     
     
  • 2.8, Аноним (-), 21:46, 30/12/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Не парьтесь, ребята, самый торт это докувики

    Самый торт - это медиавики. Вон на википедии - симпатичненькая такая штука, всю планету обслуживает. Остальные после нее достаточно так себе, увы.

     
     
  • 3.9, Аноним (-), 22:10, 30/12/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Медиавики самая распиаренная - это не отнять. Но далеко не самая удобная. Удобней докувики ничего пока не нашел. Сравнить например элементарные вещи типа добавить или удалить пользователя, запретить регистрацию, установить плагин и все такое. Медиавики тут с грохотом пролетает - это монстр, расчитанный под монструозные задачи типа википедии. В качестве небольшой вики докувики заруливает и медиавики и мойнмойн.
     
     
  • 4.13, Crazy Alex (ok), 04:35, 31/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Воистину. Небольшая, удобная в настройке и мощная. И с человеческой системой утсановки и мониторинга плагинов.

    Что до питона - то глядел недавно http://code.google.com/p/django-simple-wiki/ - написана куда более по-человечески, чем MoinMoin...

     
  • 3.10, Аноним (-), 22:29, 30/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вон на википедии - симпатичненькая такая штука, всю планету обслуживает.

    Не аргумент. Возможность растянуть на сотни серверов и прикрутить сотни костылей - еще не означает, что продукт лучший в своем роде.

     
     
  • 4.14, Аноним (-), 05:46, 01/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    С точки зрения редактора - лучше не видел. А если упрощать жизнь админу - тогда админ и будет вам вику редактировать. Если будет.
     
     
  • 5.16, Crazy Alex (??), 13:07, 02/01/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А что там особенного с точки зрения редактора?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру