Рекомендация Debian по безопасности

DSA-2067-1 mahara -- несколько уязвимостей

Дата сообщения:
02.07.2010
Затронутые пакеты:
mahara
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2010-1667, CVE-2010-1668, CVE-2010-1670, CVE-2010-2479.
Более подробная информация:

В mahara, электронном портфолио, веб-блоге и программе для построения резюме, было обнаружено несколько уязвимостей. Эти уязвимости определены следующими идентификаторами проекта Common Vulnerabilities and Exposures:

  • CVE-2010-1667

    На многих страницах выполняется недостаточная очистка входных данных, что делает их уязвимыми к межсайтовому скриптингу.

  • CVE-2010-1668

    У многих форм отсутствует защита от подделки межсайтовых запросов, что делает их уязвимыми.

  • CVE-2010-1670

    Грегор Анзель обнаружил, что можно случайно настроить mahara так, что можно будет получить доступ к учётной записи другого пользователя без ввода пароля.

  • CVE-2010-2479

    В HTML Purifier, копия которого содержится в пакете mahara, были обнаружены определённые уязвимости, приводящие к межсайтовому скриптингу в Internet Explorer.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.0.4-4+lenny6.

В тестируемом выпуске (squeeze) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.2.5.

Рекомендуется обновить пакеты mahara.

Исправлено в:

Debian GNU/Linux 5.0 (stable)

Исходный код:
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.diff.gz
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny6_all.deb
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.