Bulletin d'alerte Debian

DSA-2115-1 moodle -- Plusieurs vulnérabilités

Date du rapport :
29 septembre 2010
Paquets concernés :
moodle
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2010-1613, CVE-2010-1614, CVE-2010-1615, CVE-2010-1616, CVE-2010-1617, CVE-2010-1618, CVE-2010-1619, CVE-2010-2228, CVE-2010-2229, CVE-2010-2230, CVE-2010-2231.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans Moodle, un système de gestion de cours. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2010-1613

    Moodle n'active pas le réglage Regénération de l'identifiant de session lors de la connexion par défaut, ce qui facilite les attaques à distance par fixation de session.

  • CVE-2010-1614

    Plusieurs vulnérabilités de script intersite (XSS) permettent aux attaquants distants d'injecter des scripts web arbitraires ou du HTML par des moyens liés (1) à la fonctionnalité de connexion en tant que ou (2) quand la fonctionnalité de recherche globale est activée, à des formulaires de recherche globale non remplis dans le moteur de recherche global.

  • CVE-2010-1615

    Plusieurs vulnérabilités d'injection SQL permettent à des attaquants distants d'exécuter des commandes SQL arbitraires par des moyens liés à (1) la fonction add_to_log de mod/wiki/view.php dans le module de wiki ou (2) validation de données dans certains éléments de formulaires liés à lib/form/selectgroups.php.

  • CVE-2010-1616

    Moodle peut créer de nouveaux rôles lors du rétablissement d'un cours, ce qui permet aux enseignants de créer de nouveaux comptes même s'ils n'ont pas la capacité moodle/user:create.

  • CVE-2010-1617

    user/view.php ne vérifie pas correctement un rôle, ce qui permet à des utilisateurs authentifiés distants d'obtenir les noms complets des autres utilisateurs à l'aide de la page de profil du cours.

  • CVE-2010-1618

    Une vulnérabilité de script intersite (XSS) dans la bibliothèque cliente phpCAS permet à des attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide d'une URL contrefaite, ce qui n'est pas correctement géré dans un message d'erreur.

  • CVE-2010-1619

    Une vulnérabilité de script intersite (XSS) dans la fonction fix_non_standard_entities de la bibliothèque de nettoyage de texte HTML KSES (weblib.php) permet à des attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide d'entités HTML contrefaites.

  • CVE-2010-2228

    Une vulnérabilité de script intersite (XSS) dans l'interface de contrôle d'accès MNET permet à des attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide de moyens impliquant les caractères étendus dans un identifiant.

  • CVE-2010-2229

    Plusieurs vulnérabilités de script intersite (XSS) dans blog/index.php permettent à des attaquants distants d'injecter un script web arbitraire ou du HTML à l'aide de paramètres indéterminés.

  • CVE-2010-2230

    Le filtre de nettoyage de texte KSES de lib/weblib.php ne gère pas correctement les URI vbscript, ce qui permet à des utilisateurs authentifiés distants de réaliser des attaques par script intersite (XSS) en entrant du HTML.

  • CVE-2010-2231

    Une vulnérabilité de requête intersite contrefaite (CSRF) dans report/overview/report.php dans le module test permet à des attaquants distants de détourner l'authentification d'utilisateurs arbitraires pour les requêtes qui effacent les tentatives de test à l'aide du paramètre attemptid.

Cette mise à jour de sécurité bascule vers une nouvelle version amont qui exige des mises à jour de base de données. Après l'installation du paquet corrigé, vous devez vous rendre en <http://localhost/moodle/admin/> et suivre les instructions de mise à jour.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.8.13-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.9.dfsg2-1.

Nous vous recommandons de mettre à jour votre paquet moodle.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13-1.diff.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13-1.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13-1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.