Debians sikkerhedsbulletin

DSA-1761-1 moodle -- manglende fornuftighedskontrol af inddata

Rapporteret den:
3. apr 2009
Berørte pakker:
moodle
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 522116.
I Mitres CVE-ordbog: CVE-2009-1171.
Yderligere oplysninger:

Christian J. Eibl opdagede at TeX-filteret i Moodle, et webbaseret kursushåndteringssystem, ikke på korrekt vis kontrollerede brugerinddata fra visse TeX-kommandoer, hvilket gjorde det muligt for en angriber at include og vise indholdet af vilkårlige systemfiler.

Bemærk at det ikke påvirker installationer, der kun anvender mimetex-miljøet.

I den gamle stabile distribution (etch), er dette problem rettet i version 1.6.3-2+etch3.

I den stabile distribution (lenny), er dette problem rettet i version 1.8.2.dfsg-3+lenny2.

I distributionen testing (squeeze), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 1.8.2.dfsg-5.

Vi anbefaler at du opgraderer dine moodle-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch3.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch3.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch3_all.deb

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny2.diff.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny2.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.