Рекомендация Debian по безопасности

DSA-1724-1 moodle -- несколько уязвимостей

Дата сообщения:
13.02.2009
Затронутые пакеты:
moodle
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 514284.
В каталоге Mitre CVE: CVE-2009-0500, CVE-2009-0502, CVE-2008-5153.
Более подробная информация:

В Moodle, системе управления онлайн-курсами, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2009-0500

    Было обнаружено, что информация, сохраняемая в таблицы журнала очищается неправильно, что может позволить злоумышленникам вводить произвольный веб-код.

  • CVE-2009-0502

    Было обнаружено, что определённые входные данные в функции "Login as" очищаются неправильно, приводя к введению произвольного веб-сценария.

  • CVE-2008-5153

    Дмитрий Обухов обнаружил, что дополнение SpellCheker создаёт временные файлы небезопасным образом, что позволяет вызывать отказ в обслуживании. Поскольку это дополнение не используется, оно было удалено.

В стабильном выпуске (etch) эти проблемы были исправлены в версии 1.6.3-2+etch2.

В тестируемом выпуске (lenny) эти проблемы были исправлены в версии 1.8.2.dfsg-3+lenny1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.8.2.dfsg-4.

Рекомендуется обновить пакеты moodle.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.diff.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.