Debians sikkerhedsbulletin

DSA-1736-1 mahara -- utilstrækkelig fornuftighedskontrol af inddata

Rapporteret den:

10. mar 2009

Berørte pakker:

mahara

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2009-0660.

Yderligere oplysninger:

Man opdagede at mahara, en elektronisk portefølje, weblog og CV-opbygger, var sårbar over for udførelse af skripter på tværs af websteder, hvilket gjorde det muligt at indspøjte vilkårlig Java- eller HTML-kode.

Den gamle stabile distribution (etch) indeholder ikke mahara.

I den stabile distribution (lenny), er dette problem rettet i version 1.0.4-4+lenny1.

I distributionen testing (squeeze) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer din mahara-pakke.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:: http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny1.dsc; http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny1.diff.gz; http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny1_all.deb; http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.