URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 88022
[ Назад ]
Исходное сообщение
"Критическая уязвимость в MoinMoin Wiki"
Отправлено opennews , 30-Дек-12 19:21 
В написанном на языке Python wiki-движке MoinMoin (http://moinmo.in) найдена (http://permalink.gmane.org/gmane.comp.security.oss.general/9042) уязвимость, позволяющая организовать удалённое выполнение кода на сервере. Проблема проявляется только в ветке MoinMoin 1.9.x и вызвана ошибками в модулях AnyWikiDraw (action/anywikidraw.py), TWikiDraw
(action/twikidraw.py) и AttachFile (action/AttachFile.py) из-за недостаточной проверки входных параметров, которые используются в файловых путях (классическая уязвимость через передачу конструкции вида "../../filename" через параметры target и attachment).


Проблемы исправлена (http://moinmo.in/MoinMoinWiki/Announcement) в выпуске MoinMoin 1.9.6, исправление также доступно в виде патчей (1 (http://hg.moinmo.in/moin/1.9/rev/7e7e1cbb9d3f), 2 (http://hg.moinmo.in/moin/1.9/rev/3c27131a3c52)).

URL: http://permalink.gmane.org/gmane.comp.security.oss.general/9042
Новость: http://www.opennet.me/opennews/art.shtml?num=35724

Содержание
Сообщения в этом обсуждении
"Критическая уязвимость в MoinMoin Wiki"
Отправлено deadless , 30-Дек-12 19:29 
вот паралельно с MoinMoin юзаю MediaWiki и медиавика не оставляет никаких шансов мойну по количеству фич и плагинов, теперь точно перетащу всю базу в медиавику...
"Критическая уязвимость в MoinMoin Wiki"
Отправлено all_glory_to_the_hypnotoad , 30-Дек-12 19:45 
эти плагины особо не нужны и контент в медиавики выглядид как дерьмо. С точки зрения дизайна/вёрстки/юзабилити MM весьма хорош и оставляет медиавики в заднице. Да и не только MM оставлет в заднице медиавики.
"Критическая уязвимость в MoinMoin Wiki"
Отправлено Аноним , 30-Дек-12 21:46 
У вас батхерт. Это в moinmoin контент выглядит как полный крап на фоне современных версий медиавики. И пользоваться этой кривой поделкой вообще неудобно, медиавики в пять раз юзаюельнее и фич в 10 раз больше. И если раньше питонисты что-то там вякали насчет дырок в PHP крапе то теперь им придется помалкивать в тряпочку. Хотя всем кто с головным мозгом и так было очевидно что баги можно сажать на любом ЯП, поскольку программирует программист а не ЯП.
"Критическая уязвимость в MoinMoin Wiki"
Отправлено Аноним , 30-Дек-12 22:31 
> У вас батхерт. Это в moinmoin контент выглядит как полный крап на
> фоне современных версий медиавики. И пользоваться этой кривой поделкой вообще неудобно,
> медиавики в пять раз юзаюельнее и фич в 10 раз больше.

У вас батхерт. Это в медиавики контент выглядит как полный крап на фоне современных версий moinmoin. И пользоваться этой кривой поделкой вообще неудобно, moinmoin в пять раз юзаюельнее и фич в 10 раз больше.

"Критическая уязвимость в MoinMoin Wiki"
Отправлено Аноним , 01-Янв-13 05:47 
> У вас батхерт. Это в медиавики контент выглядит как полный крап

Не согласен, вон на википедии вполне функционально и симпатично сделано, например. Moinmoin до этого - как раком до китая.

> на  фоне современных версий moinmoin. И пользоваться этой кривой поделкой
> вообще неудобно, moinmoin в пять раз юзаюельнее и фич в 10 раз больше.

Да нифига. MediaWiki конечно переросток и грабель с точки зрения админа с ней много, но за это она наворочена и фичаста.

"Критическая уязвимость в MoinMoin Wiki"
Отправлено Xasd , 30-Дек-12 23:02 
> теперь точно перетащу всю базу в медиавику...

ну да.. самое время.. когда уязвимость *уже* исправили!

</sarcasm> :-)

"Критическая уязвимость в MoinMoin Wiki"
Отправлено slav0nic , 06-Янв-13 02:30 
вы бы в код этих "плагинов" заглянули
"Критическая уязвимость в MoinMoin Wiki"
Отправлено Аноним , 30-Дек-12 21:13 
Не парьтесь, ребята, самый торт это докувики
"Критическая уязвимость в MoinMoin Wiki"
Отправлено Аноним , 30-Дек-12 21:46 
> Не парьтесь, ребята, самый торт это докувики

Самый торт - это медиавики. Вон на википедии - симпатичненькая такая штука, всю планету обслуживает. Остальные после нее достаточно так себе, увы.

"Критическая уязвимость в MoinMoin Wiki"
Отправлено Аноним , 30-Дек-12 22:10 
Медиавики самая распиаренная - это не отнять. Но далеко не самая удобная. Удобней докувики ничего пока не нашел. Сравнить например элементарные вещи типа добавить или удалить пользователя, запретить регистрацию, установить плагин и все такое. Медиавики тут с грохотом пролетает - это монстр, расчитанный под монструозные задачи типа википедии. В качестве небольшой вики докувики заруливает и медиавики и мойнмойн.
"Критическая уязвимость в MoinMoin Wiki"
Отправлено Crazy Alex , 31-Дек-12 04:35 
Воистину. Небольшая, удобная в настройке и мощная. И с человеческой системой утсановки и мониторинга плагинов.

Что до питона - то глядел недавно http://code.google.com/p/django-simple-wiki/ - написана куда более по-человечески, чем MoinMoin...

"Критическая уязвимость в MoinMoin Wiki"
Отправлено Аноним , 30-Дек-12 22:29 
> Вон на википедии - симпатичненькая такая штука, всю планету обслуживает.

Не аргумент. Возможность растянуть на сотни серверов и прикрутить сотни костылей - еще не означает, что продукт лучший в своем роде.

"Критическая уязвимость в MoinMoin Wiki"
Отправлено Аноним , 01-Янв-13 05:46 
С точки зрения редактора - лучше не видел. А если упрощать жизнь админу - тогда админ и будет вам вику редактировать. Если будет.
"Критическая уязвимость в MoinMoin Wiki"
Отправлено Crazy Alex , 02-Янв-13 13:07 
А что там особенного с точки зрения редактора?