Некоторое время назад по рассылкам безопасности прошла информация о потеницальной уязвимости в ПО для построения Вики-проектов moin-moin, которая позволяет получить локальные права пользователя, с которым это moin-moin запущен. Те, кто подобные рассылки читает, знает, что такие сообщения появляются (не в отношении персонально moin-moin, а «вообще») довольно часто и никакого особого интереса не вызывают. Нашли — поправили — обновили — забыли.

Однако, с этой уязвимостью moin-moin ситуация оказалась хуже.

В настоящий момент есть уже две крупные жертвы: вики Дебиана и вики Питона: (в настоящий момент переведена в оффлайн). Детали по степени проникновения для Питона пока не известны, а для дебиана опубликован отчёт: украли емейлы и солёные хеши паролей.

Кто ещё?

Используют moin-moin: Apache (в том числе для TomCat), Ubuntu, Mercurial, Baazar, CAcert.org, WireShark, Squid, CouchDB, SpamAssasin, Gnome Live, Wine, X.org, GRUB, CentOS, Arch, FreeBSD, OpenWRT, freedesktop.org, GCC, DropBox…

Сколько из них успело уже обновиться?

Описание уязвимости

Сама уязвимость ничего интересного из себя не представляет — загружают исполняемый файл, исполняют. Описание: CVE-2012-6081.

Вики питона

Как мне подсказывает bliznezz, в рассылке пишут, что в отличие от вики дебиана, атакующий просто (вероятнее всего, после скачивания всех интересных данных) удалил всю информацию до какой имел доступ аккаунт moin, включая вики Python и Jython.