]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - doc/security.mdwn
web commit from 85.177.35.89: poll vote (It's fast enough)
[git.ikiwiki.info.git] / doc / security.mdwn
index 6e1d56a52e76c92a50a6a48d66293f5b3a3022d4..723daeccc4afa9a635f2bc0bd3dede11e1244eb6 100644 (file)
@@ -47,6 +47,13 @@ Users with only web commit access are limited to editing pages as ikiwiki
 doesn't support file uploads from browsers (yet), so they can't exploit
 this.
 
 doesn't support file uploads from browsers (yet), so they can't exploit
 this.
 
+It is possible to embed an image in a page edited over the web, by using
+`img src="data:image/png;"`. Ikiwiki's htmlscrubber only allows `data:`
+urls to be used for `image/*` mime types. It's possible that some broken
+browser might ignore the mime type and if the data provided is not an
+image, instead run it as javascript, or something evil like that. Hopefully
+not many browsers are that broken.
+
 ## multiple accessors of wiki directory
 
 If multiple people can directly write to the source directory ikiwiki is
 ## multiple accessors of wiki directory
 
 If multiple people can directly write to the source directory ikiwiki is
@@ -341,7 +348,21 @@ There are at least two configurations where this is exploitable:
   notice.
 
 This security hole was discovered on 26 November 2007 and fixed the same
   notice.
 
 This security hole was discovered on 26 November 2007 and fixed the same
-da with the release of ikiwiki 2.14. I recommend upgrading to this version
+day with the release of ikiwiki 2.14. I recommend upgrading to this version
 if your wiki can be committed to by third parties. Alternatively, don't use
 a trailing slash in the srcdir, and avoid the (unusual) configurations that
 allow the security hole to be exploited.
 if your wiki can be committed to by third parties. Alternatively, don't use
 a trailing slash in the srcdir, and avoid the (unusual) configurations that
 allow the security hole to be exploited.
+
+## javascript insertion via uris
+
+The htmlscrubber did not block javascript in uris. This was fixed by adding
+a whitelist of valid uri types, which does not include javascript. 
+([[cve CVE-2008-0809]]) Some urls specifyable by the meta plugin could also
+theoretically have been used to inject javascript; this was also blocked
+([[cve CVE-2008-0808]]).
+
+This hole was discovered on 10 February 2008 and fixed the same day
+with the release of ikiwiki 2.31.1. (And a few subsequent versions..)
+A fix was also backported to Debian etch, as version 1.33.4. I recommend
+upgrading to one of these versions if your wiki can be edited by third
+parties.