Debians sikkerhedsbulletin

DSA-1724-1 moodle -- flere sårbarheder

Rapporteret den:
13. feb 2009
Berørte pakker:
moodle
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 514284.
I Mitres CVE-ordbog: CVE-2009-0500, CVE-2009-0502, CVE-2008-5153.
Yderligere oplysninger:

Flere sårbarheder er opdaget Moodle, et onlinesystem til kursushåndtering. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-0500

    Man opdagede at oplysningerne gemt i logtabellerne ikke var fornuftighedskontrollet på rettet vis, hvilket kunne gøre det muligt for angribere at indsprøjte vilkårlig webkode.

  • CVE-2009-0502

    Man opdagede at visse inddata gennem funktionen "Login as" ikke på korrekt vis for fornuftighedskontrollerede, hvilket kunne føre til indsprøjtning af vilkårligt webskript.

  • CVE-2008-5153

    Dmitry E. Oboukhov opdagede at plugin'en SpellCheker oprettede midlertidige filer på usikker vis, hvilket muliggjorde lammelsesangreb (denial of service). Da plugin'en ikke blev anvendt, er den fjernet i denne opdatering.

I den stabile distribution (etch) er disse problemer rettet i version 1.6.3-2+etch2.

I distributionen testing (lenny) er disse problemer rettet i version 1.8.2.dfsg-3+lenny1.

I den ustabile (sid) distribution er disse problemer rettet i version 1.8.2.dfsg-4.

Vi anbefaler at du opgraderer din moodle-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.diff.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.