Debians sikkerhedsbulletin

DSA-2421-1 moodle -- flere sårbarheder

Rapporteret den:
29. feb 2012
Berørte pakker:
moodle
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-4308, CVE-2011-4584, CVE-2011-4585, CVE-2011-4586, CVE-2011-4587, CVE-2011-4588, CVE-2012-0792, CVE-2012-0793, CVE-2012-0794, CVE-2012-0795, CVE-2012-0796.
Yderligere oplysninger:

Flere sikkerhedsproblemer er opdaget i Moodle, et kursushåndteringsystem til onlineundervisning:

  • CVE-2011-4308 / CVE-2012-0792

    Rossiani Wijaya opdagede en informationslækage i mod/forum/user.php.

  • CVE-2011-4584

    MNet-autentifikationen forhindrede ikke en bruger, der bruger Login as i at springe til en fjernet MNet SSO.

  • CVE-2011-4585

    Darragh Enright opdagede, at formularen til ændring af adgangskoder blev sendt i klar tekst over almindelig HTTP, selv hvis httpslogin var sat til true.

  • CVE-2011-4586

    David Michael Evans og German Sanchez Gances opdagede sårbarheder i forbindelse med CRLF-indsprøjtning/HTTP-svaropsplitning i Calendar-modulet.

  • CVE-2011-4587

    Stephen Mc Guiness opdagede, at tomme adgangskoder kunne angives under visse omstændigheder.

  • CVE-2011-4588

    Patrick McNeill opdagede, at IP-adresse-begrænsinger kunne omgås i MNet.

  • CVE-2012-0796

    Simon Coggins opdagede, at yderligere oplysninger kunne indsprøjtes i mailheadere.

  • CVE-2012-0795

    John Ehringer opdagede, at e-mail-adresser blev valideret på utilstrækkelig vis.

  • CVE-2012-0794

    Rajesh Taneja opdagede, at cookie-krypteringen anvendte en fast nøgle.

  • CVE-2012-0793

    Eloy Lafuente opdagede, at profilbilleder var utilstrækkeligt beskyttet. En ny opsætningsindstilling, forceloginforprofileimages, er blevet introduceret til det formål.

I den stabile distribution (squeeze), er dette problem rettet i version 1.9.9.dfsg2-2.1+squeeze3.

I den ustabile distribution (sid), er dette problem rettet i version 1.9.9.dfsg2-5.

Vi anbefaler at du opgraderer dine moodle-pakker.