发布日期：2010-03-18
更新日期：2010-03-19

受影响系统：

ikiwiki ikiwiki 3.x
ikiwiki ikiwiki 2.x

不受影响系统：

ikiwiki ikiwiki 3.20100312
ikiwiki ikiwiki 2.53.5

描述：

---

BUGTRAQ  ID: 38844

Ikiwiki是一个wiki编译器，可将wiki页面转换为可在网站发布的HTML页面。

Ikiwiki的htmlscrubber插件允许data:image/svg+xml URI，而svg中可能包含有JavaScript代码。远程用户向服务器提交了恶意请求就可以注入恶意代码，当用户查看数据时就会在浏览器中执行所注入的脚本代码。

<*来源：Ivan Shmakov
  
  链接：http://secunia.com/advisories/38983/
        http://ikiwiki.info/security/#index36h2
        http://www.debian.org/security/2010/dsa-2020
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-2020-1）以及相应补丁:
DSA-2020-1：New ikiwiki packages fix cross-site scripting
链接：http://www.debian.org/security/2010/dsa-2020

补丁下载：
Source archives:

http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5.dsc
Size/MD5 checksum:     1736 cf65b7fa1ea53f80088e5e7a24bf4f28
http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5.tar.gz
Size/MD5 checksum:   771947 1c05117599045714fc477f757c675478

Architecture independent packages:

http://security.debian.org/pool/updates/main/i/ikiwiki/ikiwiki_2.53.5_all.deb
Size/MD5 checksum:   918452 ae67075b982fd6b19adca30f2393ee9a

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

ikiwiki
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://ikiwiki.info/

浏览次数：2368
严重程度：0（网友投票）