Mehrere Verwundbarkeiten wurden in libphp-adodb, der adodb
Datenbankabstraktionsschicht für PHP, entdeckt, die in moodle, einem
Kursverwaltungssystem zum Online-Learning, eingebettet ist.
Das Common Vulnerabilities and Exposures Project
legt die folgenden
Probleme fest:
Andreas Sandblad entdeckte, dass unzureichende Eingabebereinigung von Benutzerdaten in einer potenziellen entfernten SQL-Einfügungsverwundbarkeit resultiert, die es einem Angreifer ermöglicht, Anwendungen zu kompromittieren, Daten zuzugreifen oder zu verändern oder Verwundbarkeiten in der zugrundeliegenden Datenbankimplementation auszunutzen. Dies setzt voraus, das das MySQL root-Passwort leer ist. Es wird behoben, indem dem fraglichen Skript nur limitierter Zugriff gewährt wird.
Eine Verwundbarkeit bei dynamischer Codeevaluation erlaubt es entfernten
Angreifern, über den Parameter do
beliebige PHP-Funktionen
auszuführen.
Andy Staudacher entdeckte eine SQL-Einfügungsverwundbarkeit, die auf unzureichender Eingabebereinigung beruht und es entfernten Angreifern erlaubt, beliebige SQL-Befehle auszuführen.
GulfTech Security Research entdeckte mehrere seitenübergreifende Skriptverwundbarkeiten, die auf unzureichender Eingabebereinigung von Benutzerdaten beruhen. Angreifer können diese Verwundbarkeiten ausnutzen, um die Ausführung von beliebigen Skripten im Browser eines nichtsahnenden Benutzers zu veranlassen oder im Diebstahl von Cookie-basierten Authentifizierungsinformationen zu resultieren.
Die alte Stable-Distribution (Woody) enthält das moodle-Paket nicht.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 1.4.4.dfsg.1-3sarge1 behoben.
Für die Unstable-Distribution werden diese Probleme bald behoben sein.
Wir empfehlen Ihnen, Ihr moodle-Paket zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.