Debian セキュリティ勧告

DSA-2067-1 mahara -- 複数の脆弱性

報告日時:
2010-07-02
影響を受けるパッケージ:
mahara
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2010-1667, CVE-2010-1668, CVE-2010-1670, CVE-2010-2479.
詳細:

電子ポートフォリオ、ウェブログ、履歴書作成ツール mahara に二つの欠陥 が発見されました。The Common Vulnerabilities and Exposures project は 以下の問題を認識しています。

  • CVE-2010-1667

    複数のページで入力の適切なサニタイズを行っておらず、クロスサイトス クリプティング攻撃が可能です。

  • CVE-2010-1668

    複数のページにクロスサイトリクエストフォージェリ攻撃にたいする保護 が欠けているため、攻撃可能になっています。

  • CVE-2010-1670

    Gregor Anzelj さんにより、mahara の設定を何かの拍子に誤った場合、ユ ーザ型のユーザのアカウントにパスワードなしにアクセスできることが発 見されました。

  • CVE-2010-2479

    Internet Explorer の特定の版に限定されたクロスサイトスクリプティン グ攻撃を許す欠陥が、mahara パッケージに同梱された HTML-Purifier に 発見されました。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー ジョン 1.0.4-4+lenny6 で修正されています。

テスト版 (testing) ディストリビューション (squeeze) では、これらの問題 は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ ージョン 1.2.5 で修正されています。

直ぐに mahara パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 5.0 (stable)

ソース:
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.diff.gz
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.dsc
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny6_all.deb
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。