Debian セキュリティ勧告

DSA-2115-1 moodle -- 複数の脆弱性

報告日時:
2010-09-29
影響を受けるパッケージ:
moodle
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2010-1613, CVE-2010-1614, CVE-2010-1615, CVE-2010-1616, CVE-2010-1617, CVE-2010-1618, CVE-2010-1619, CVE-2010-2228, CVE-2010-2229, CVE-2010-2230, CVE-2010-2231.
詳細:

履修科目管理システム Moodle に、リモートから攻撃可能な複数の問題が発見 されました。The Common Vulnerabilities and Exposures project は以下の問 題を認識しています。

  • CVE-2010-1613

    Moodle は、標準では「ログイン時にセッションを再作成する」機能 を有効にしていないため、リモートの攻撃者からのセッション固定攻 撃が容易になります。

  • CVE-2010-1614

    複数のクロスサイトスクリプティング攻撃をゆるす欠陥のため、リモ ートの攻撃者が任意のウェブスクリプトや HTML を挿入可能です。攻 撃対象は (1) Login-As 機能関連と (2) グローバルサーチ機能が有 効な場合、グローバルサーチエンジンのグローバルサーチの詳細未公 表のフォーム関連です。

  • CVE-2010-1615

    複数の SQL インジェクション脆弱性のため、リモートの攻撃者が任 意の SQL コマンドを実行可能です。攻撃対象は (1) wiki モジュール の mod/wiki/view.php 中の add_to_log 関数と、 (2) lib/form/selectgroups.php に関連した「特定のフォーム要素の データ検証機能」関係です。

  • CVE-2010-1616

    Moodle はコースのリストア時に新しいロールを作成可能なため、 moodle/user:create 権限を持たない教官から新規アカウントを作成可 能です

  • CVE-2010-1617

    user/view.php が適切にロールをチェックしていないため、リモートの 認証済みのユーザがコースプロファイルページから他のユーザの名前を 知ることができます。

  • CVE-2010-1618

    phpCAS クライアントライブラリに複数のクロスサイトスクリプティン グ攻撃をゆるす欠陥があり、リモートの攻撃者が細工した URL がエラ ーメッセージ中で適切に処理されていないことを悪用して任意のウェブ スクリプトや HTML を挿入可能です。

  • CVE-2010-1619

    KSES HTML テキスト整形ライブラリ (weblib.php) の fix_non_standard_entities 関数に複数のクロスサイトスクリプティン グ攻撃をゆるす欠陥があり、リモートの攻撃者が未公表のパラメータを 用いて任意のウェブスクリプトや HTML を挿入可能です。

  • CVE-2010-2228

    アクセス制御インターフェースに複数のクロスサイトスクリプティング 攻撃をゆるす欠陥があり、リモートの攻撃者がユーザ名に拡張文字を用 いる攻撃手法により任意のウェブスクリプトや HTML を挿入可能です。

  • CVE-2010-2229

    blog/index.php に複数のクロスサイトスクリプティング攻撃をゆるす 欠陥があり、リモートの攻撃者が未公表のパラメータを用いて任意のウ ェブスクリプトや HTML を挿入可能です。

  • CVE-2010-2230

    KSES HTML テキスト整形フィルタ (lib/weblib.php) が vbscript URI を適切に処理していないため、リモートの認証済みのユーザが HTML 入 力を用いてクロスサイトスクリプティング攻撃を実行可能です

  • CVE-2010-2231

    A Cross-site request forgery (CSRF) vulnerability in quiz モジュールの report/overview/report.php 関数にクロスサイト リクエストフォージェリ (CSRF) をゆるす欠陥があり、リモートの攻撃 者が任意の認証済みのユーザのセッションを利用して (attemptid パラ メータを使い) quiz 試行結果を削除可能です。

このセキュリティ更新では、新しい上流のバージョンに切り変えており、データ ベースの更新が必要です。修正版のパッケージのインストール後に、 <http://localhost/moodle/admin/> を参照して更新手順に従ってください。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバージ ョン 1.8.13-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 1.9.9.dfsg2-1 で修正されています。

直ぐに moodle パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13-1.diff.gz
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13-1.dsc
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.13-1_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。