Debians sikkerhedsbulletin

DSA-2067-1 mahara -- flere sårbarheder

Rapporteret den:
2. jul 2010
Berørte pakker:
mahara
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2010-1667, CVE-2010-1668, CVE-2010-1670, CVE-2010-2479.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i mahara, en elektronisk portfolio, weblog og CV-program. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2010-1667

    Flere sider udførte utilstrækkelig fornuftighedskontrol af data, hvilket gjorde dem sårbare over for angreb i forbindelse med udførelse af skripter på tværs af websteder.

  • CVE-2010-1668

    Flere formularer manglede beskyttelse med angreb i form af forespørgselsforfalskning på tværs af websteder, hvilket derfor gjorde dem sårbare.

  • CVE-2010-1670

    Gregor Anzelj opdagede at det var muligt, ved et uheld at opsætte en installering af mahara, så der var adgang til en anden brugers konto uden en adgangskode.

  • CVE-2010-2479

    Visse Internet Explorer-specifikke sårbarheder i forbindelse med udførelse af skripter på tværs af websteder, blev opdaget i HTML Purifier, som mahara-pakken indeholder en kopi af.

I den stabile distribution (lenny), er disse problemer rettet version 1.0.4-4+lenny6.

I distributionen testing (squeeze), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 1.2.5.

Vi anbefaler at du opgraderer dine mahara-pakker.

Rettet i:

Debian GNU/Linux 5.0 (stable)

Kildekode:
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.diff.gz
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny6_all.deb
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.