Debians sikkerhedsbulletin
DSA-2421-1 moodle -- flere sårbarheder
- Rapporteret den:
- 29. feb 2012
- Berørte pakker:
- moodle
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-4308, CVE-2011-4584, CVE-2011-4585, CVE-2011-4586, CVE-2011-4587, CVE-2011-4588, CVE-2012-0792, CVE-2012-0793, CVE-2012-0794, CVE-2012-0795, CVE-2012-0796.
- Yderligere oplysninger:
-
Flere sikkerhedsproblemer er opdaget i Moodle, et kursushåndteringsystem til onlineundervisning:
- CVE-2011-4308 / CVE-2012-0792
Rossiani Wijaya opdagede en informationslækage i mod/forum/user.php.
- CVE-2011-4584
MNet-autentifikationen forhindrede ikke en bruger, der bruger
Login as
i at springe til en fjernet MNet SSO. - CVE-2011-4585
Darragh Enright opdagede, at formularen til ændring af adgangskoder blev sendt i klar tekst over almindelig HTTP, selv hvis httpslogin var sat til
true
. - CVE-2011-4586
David Michael Evans og German Sanchez Gances opdagede sårbarheder i forbindelse med CRLF-indsprøjtning/HTTP-svaropsplitning i Calendar-modulet.
- CVE-2011-4587
Stephen Mc Guiness opdagede, at tomme adgangskoder kunne angives under visse omstændigheder.
- CVE-2011-4588
Patrick McNeill opdagede, at IP-adresse-begrænsinger kunne omgås i MNet.
- CVE-2012-0796
Simon Coggins opdagede, at yderligere oplysninger kunne indsprøjtes i mailheadere.
- CVE-2012-0795
John Ehringer opdagede, at e-mail-adresser blev valideret på utilstrækkelig vis.
- CVE-2012-0794
Rajesh Taneja opdagede, at cookie-krypteringen anvendte en fast nøgle.
- CVE-2012-0793
Eloy Lafuente opdagede, at profilbilleder var utilstrækkeligt beskyttet. En ny opsætningsindstilling,
forceloginforprofileimages
, er blevet introduceret til det formål.
I den stabile distribution (squeeze), er dette problem rettet i version 1.9.9.dfsg2-2.1+squeeze3.
I den ustabile distribution (sid), er dette problem rettet i version 1.9.9.dfsg2-5.
Vi anbefaler at du opgraderer dine moodle-pakker.
- CVE-2011-4308 / CVE-2012-0792