Debians sikkerhedsbulletin

DSA-2115-1 moodle -- flere sårbarheder

Rapporteret den:
29. sep 2010
Berørte pakker:
moodle
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2010-1613, CVE-2010-1614, CVE-2010-1615, CVE-2010-1616, CVE-2010-1617, CVE-2010-1618, CVE-2010-1619, CVE-2010-2228, CVE-2010-2229, CVE-2010-2230, CVE-2010-2231.
Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i Moodle, et kursusadministreringssystem. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2010-1613

    Moodle har ikke som standard aktiveret indstillingen Regenerate session id during login, hvilket gør det lettere for fjernangribere at udføre session fixation-angreb.

  • CVE-2010-1614

    Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) gjorde det muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML via angrebsvinkler relateret til (1) Login-As-funktionaliteten, eller (2), når den globale søgefunktion var aktiveret, uspecificerede globale søgeformularer i Global Search Engine.

  • CVE-2010-1615

    Flere sårbarheder i forbindelse med indsprøjtning af SQL, gjorde det muligt for fjernangribere at udføre vilkårlig SQL-kommandoer via angrebsvinkler relateret til (1) funktionen add_to_log i mod/wiki/view.php i wiki-modulet, or (2) datavalidering i nogle formularelementer relateret til lib/form/selectgroups.php.

  • CVE-2010-1616

    Moodle kunne oprette nye roller når et kursus blev gendannet, hvilket gjorde det muligt for undervisere at oprette nye konti, selv hvis de ikke havde rettigheden moodle/user:create.

  • CVE-2010-1617

    user/view.php kontrollerer ikke på korrekt vis en rolle, hvilket gjorde det muligt for fjernautentificerede brugere at få adgang til de fulde navne på andre brugere via kursusprofilsiden.

  • CVE-2010-1618

    En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (XSS) i phpCAS-klientbiblioteket, gjorde det muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML via en fabrikeret URL, hvilket ikke på korrekt vis blev håndteret i en fejlmeddelelse.

  • CVE-2010-1619

    En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (XSS) i funktionen fix_non_standard_entities i KSES, et bibliotek til HTML-tekst-oprydning (weblib.php), gjorde det muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML via fabrikerede HTML-entiteter.

  • CVE-2010-2228

    En sårbarhed i forbindelse med udførelse af skripter på tværs af websteder (XSS) i MNET, adgangskontrolinterfacet, gjorde det muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML via angrebsvinkler, som omfatter udvidede tegn i brugernavne.

  • CVE-2010-2229

    Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i blog/index.php, gjorde det muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML via uspecificerede parametre.

  • CVE-2010-2230

    KSES, tekstoprydningsfilteret i lib/weblib.php, håndterede ikke på korrekt vis vbscript-URI'er, hvilket gjorde det muligt for fjernautentificerede brugere at udføre skripter på tværs af websteder (XSS) via HTML-inddata.

  • CVE-2010-2231

    En sårbarhed i forbindelse med forfalskning af forespørgsler på tværs af websteder (CSRF) i report/overview/report.php i quiz-modulet, gjorde det muligt for fjernangribere at kapre autentificeringen af vilkårlige brugere, til forespørgsler som sletter quiz-forsøg via parameteret attemptid.

Denne sikkerhedsopdatering skifter til en ny opstrømsversion og kræver databaseopdateringer. Efter installering af den rettede pakke, skal du besøge siden <http://localhost/moodle/admin/> og følge opdateringsvejledningen.

I den stabile distribution (lenny), er disse problemer rettet i version 1.8.13-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.9.9.dfsg2-1.

Vi anbefaler at du opgraderer din moodle-pakke.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13-1.diff.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13-1.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13-1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.