Debian セキュリティ勧告

DSA-1986-1 moodle -- 複数の脆弱性

報告日時:
2010-02-02
影響を受けるパッケージ:
moodle
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 559531.
Mitre の CVE 辞書: CVE-2009-4297, CVE-2009-4298, CVE-2009-4299, CVE-2009-4301, CVE-2009-4302, CVE-2009-4303, CVE-2009-4305.
詳細:

オンライン履修科目管理システム moodle に、複数の問題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識し ています。

  • CVE-2009-4297

    複数のクロスサイトリクエストフォージェリ (CSRF) 脆弱性が発見されました。

  • CVE-2009-4298

    LAMS モジュールにユーザのアカウント情報を漏洩する欠陥が発見されました。

  • CVE-2009-4299

    Glossary モジュールのアクセス制限機構が不十分です。

  • CVE-2009-4301

    Moodle が MNET サービスが有効な場合、適切にパーミッションをチェックし ていないため、リモートの認証済みのサーバから任意の MNET 関数を実行可能 です。

  • CVE-2009-4302

    login/index_form.html ページが SSL で保護されたコネクションを使わないで HTTP ページにリンクを行っています。

  • CVE-2009-4303

    Moodle が機密情報をバックアップファイルに書き込むため、攻撃者から取得可 能であることが発見されました。

  • CVE-2009-4305

    SCORM モジュールが SQL インジェクションを許すことが発見されました。

さらに、update_record 関数が SQL インジェクションを許す問題、シンボリッ クリンク関連の問題と、Glossary、データベースと forum レーティングの検証 に関する問題も修正されています。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー ジョン 1.8.2.dfsg-3+lenny3 で修正されています。

旧安定版ディストリビューション (etch) では修正版は提供されません。これ は多くの修正がバックポート困難なためであり、安定版 (lenny) へのアップグ レードを推奨します。

テスト版 (squeeze) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 1.8.2.dfsg-6 で修正されています。

直ぐに moodle パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg.orig.tar.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3.diff.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。