Debians sikkerhedsbulletin

DSA-1986-1 moodle -- flere sårbarheder

Rapporteret den:
2. feb 2010
Berørte pakker:
moodle
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 559531.
I Mitres CVE-ordbog: CVE-2009-4297, CVE-2009-4298, CVE-2009-4299, CVE-2009-4301, CVE-2009-4302, CVE-2009-4303, CVE-2009-4305.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Moodle, et system til håndtering af onlinekursur. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-4297

    Flere sårbarheder i forbindelse med forfalskning af forespørgsler på tværs af websteder (CSRF) er opdaget.

  • CVE-2009-4298

    Man opdagede at LAMS-modulet var sårbart over for afsløring af oplysninger om brugerkonti.

  • CVE-2009-4299

    Glossary-modulet havde en utilstrækkelig adgangskontrolmekanisme.

  • CVE-2009-4301

    Moodle kontrollerede ikke på korrekt vis rettighederne, når MNET-servicen er aktiveret, hvilket gjorde det muligt for fjernautentificerede servere, at udføre vilkårlige MNET-funktioner.

  • CVE-2009-4302

    Siden login/index_form.html linker til en HTTP-side i stedet for at anvende en SSL-sikret forbindelse.

  • CVE-2009-4303

    Moodle opbevarer følsomme oplysninger i backupfiler, hvilket måske kunne gøre det muligt for angribere, at få fat i dem.

  • CVE-2009-4305

    Man opdagede at SCORM-modulet var sårbart over for en SQL-indsprøjtning.

Desuden er der rettet en SQL-indsprøjtning i funktionen update_record, et problem med symbolske links og et verifikationsproblem med Glossary-, database- og forumbedømmelser.

I den stabile distribution (lenny), er disse problemer rettet i version 1.8.2.dfsg-3+lenny3.

I den gamle stabile distribution (etch), er der ingen rettede pakker til rådighed, og det er besværligt at tilbageføre mange af rettelserne. Derfor anbefaler vi at opgradere til versionen i Lenny.

I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 1.8.2.dfsg-6.

Vi anbefaler at du opgraderer dine moodle-pakker.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg.orig.tar.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.