Debian-Sicherheitsankündigung

DSA-1724-1 moodle -- Mehrere Verwundbarkeiten

Datum des Berichts:
13. Feb 2009
Betroffene Pakete:
moodle
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 514284.
In Mitres CVE-Verzeichnis: CVE-2009-0500, CVE-2009-0502, CVE-2008-5153.
Weitere Informationen:

In Moodle, einem Online-Betreuungssystem für Kurse, wurden mehrere Verwundbarkeiten entdeckt. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

  • CVE-2009-0500

    Informationen, die in den log tables gespeichert werden, wurden nicht angemessen bereinigt, wodurch Angreifer beliebigen Code einschleusen konnten.

  • CVE-2009-0502

    Gewisse Eingaben über die Funktion Login as wurden nicht angemessen bereinigt, was das Einschleusen beliebiger Webskripte erlaubte.

  • CVE-2008-5153

    Dmitry E. Oboukhov entdeckte, dass das SpellCheker-Plugin auf unsichere Art und Weise Temporärdateien erstellte, was Diensteverweigerungsangriffe (denial of service) ermöglichte. Das Plugin wird durch diese Aktualisierung entfernt, da es nicht genutzt wird.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.6.3-2+etch2 behoben.

Für die Testing-Distribution (Lenny) wurden diese Probleme in Version 1.8.2.dfsg-3+lenny1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.8.2.dfsg-4 behoben.

Wir empfehlen Ihnen, Ihr moodle-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.diff.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.