Bulletin d'alerte Debian

DSA-1986-1 moodle -- Plusieurs vulnérabilités

Date du rapport :
2 février 2010
Paquets concernés :
moodle
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 559531.
Dans le dictionnaire CVE du Mitre : CVE-2009-4297, CVE-2009-4298, CVE-2009-4299, CVE-2009-4301, CVE-2009-4302, CVE-2009-4303, CVE-2009-4305.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Moodle, un système de gestion de cours pour apprentissage en ligne. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-4297

    Plusieurs vulnérabilités de contrefaçon de requête intersite (CSRF) ont été découvertes.

  • CVE-2009-4298

    Le module LAMS est prédisposé à la divulgation de renseignements de compte utilisateur.

  • CVE-2009-4299

    Le module Glossaire n'a pas de mécanisme de contrôle d'accès suffisant.

  • CVE-2009-4301

    Moodle ne vérifie pas correctement les permissions quand le service MNET est activé. Cela permet aux serveurs distants authentifiés d'exécuter des fonctions MNET arbitraires.

  • CVE-2009-4302

    La page login/index_form.html pointe vers une page HTTP au lieu d'utiliser une connexion SSL sécurisée.

  • CVE-2009-4303

    Moodle conserve des données sensibles dans les fichiers de sauvegarde, ce qui permet aux attaquants de les obtenir.

  • CVE-2009-4305

    Le module SCORM est prédisposé à une injection SQL.

De plus, une injection SQL dans la fonction update_record, un problème de liens symboliques et un problème de vérification avec Glossaire, la base de données et l'évaluation des messages des forums ont été corrigés.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.8.2.dfsg-3+lenny3.

Pour la distribution oldstable (Etch), aucun paquet corrigé n'est disponible et le rétroportage de la plupart des corrections est trop compliqué. Par conséquent, nous vous recommandons de mettre à jour vers la version de Lenny.

Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.8.2.dfsg-6.

Nous vous recommandons de mettre à jour vos paquets moodle.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg.orig.tar.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.