Säkerhetsbulletin från Debian

DSA-2067-1 mahara -- flera sårbarheter

Rapporterat den:
2010-07-02
Berörda paket:
mahara
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2010-1667, CVE-2010-1668, CVE-2010-1670, CVE-2010-2479.
Ytterligare information:

Flera sårbarheter upptäcktes i mahara, ett program för att bygga elektroniska portföljer, webloggar och CV:n. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2010-1667

    Flera sidor utförde otillräcklig städning av indata, vilket gjorde dem sårbara för serveröverskridande skriptangrepp.

  • CVE-2010-1668

    Flera formulär saknade skydd mot serveröverskridande förfrågeförfalskningar, vilket gjorde dem sårbara.

  • CVE-2010-1670

    Gregor Anzelj upptäckte att det var möjligt att av en händelse konfigurera en mahara-installation som tillåter åtkomst till en annan användares konto utan ett lösenord.

  • CVE-2010-2479

    Vissa Internet Explorer-specifika serveröverskridande skriptningssårbarheter upptäcktes i HTML Purifier. En kopia av denna kod finns i mahara-paketet.

För den stabila utgåvan (Lenny) har problemen rättats i version 1.0.4-4+lenny6.

För uttestningsutgåvan (Squeeze) kommer problemen att rättas inom kort.

För den instabila utgåvan (Sid) har problemen rättats i version 1.2.5.

Vi rekommenderar att ni uppgraderar era mahara-paket.

Rättat i:

Debian GNU/Linux 5.0 (stable)

Källkod:
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.diff.gz
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny6_all.deb
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.