Debian-Sicherheitsankündigung

DSA-1724-1 moodle -- Mehrere Verwundbarkeiten

Datum des Berichts:

13. Feb 2009

Betroffene Pakete:

moodle

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 514284.
In Mitres CVE-Verzeichnis: CVE-2009-0500, CVE-2009-0502, CVE-2008-5153.

Weitere Informationen:

In Moodle, einem Online-Betreuungssystem für Kurse, wurden mehrere Verwundbarkeiten entdeckt. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

CVE-2009-0500
Informationen, die in den log tables gespeichert werden, wurden nicht angemessen bereinigt, wodurch Angreifer beliebigen Code einschleusen konnten.
CVE-2009-0502
Gewisse Eingaben über die Funktion Login as wurden nicht angemessen bereinigt, was das Einschleusen beliebiger Webskripte erlaubte.
CVE-2008-5153
Dmitry E. Oboukhov entdeckte, dass das SpellCheker-Plugin auf unsichere Art und Weise Temporärdateien erstellte, was Diensteverweigerungsangriffe (denial of service) ermöglichte. Das Plugin wird durch diese Aktualisierung entfernt, da es nicht genutzt wird.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.6.3-2+etch2 behoben.

Für die Testing-Distribution (Lenny) wurden diese Probleme in Version 1.8.2.dfsg-3+lenny1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.8.2.dfsg-4 behoben.

Wir empfehlen Ihnen, Ihr moodle-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:: http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.dsc; http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.diff.gz; http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.