Die Entwickler der OpenSource Wiki-Software MoinMoin schließen mit dem Sicherheitsupdate auf Version 1.9.6 eine
kritische Sicherheitslücke in den Actions der Zeichentools twikidraw und anywikidraw. Angreifer nutzen die Lücke bereits aktiv aus, um beliebigen Code einzuschleusen und auszuführen. Dabei wurde offenbar die Wiki-Installation des Debian-Projekts
kompromittiert. Inzwischen haben die Entwickler das Problem beseitigt und alle Passwörter ihrer Nutzer zurückgesetzt.
Neben
mehreren anderen Fehlern haben die Betreiber außerdem eine
Directory-Traversal-Sicherheitslücke in einer Upload-Funktion gestopft. Angreifer konnten darüber PHP-Skripte einschleusen und Dateien auf dem Server ändern.
Die Betreiber fordern alle Nutzern von MoinMoin-Installationen zu ihrem eigenen Schutz auf, schnellstmöglich die neue Version
herunterzuladen und zu installieren.