Bulletin d'alerte Debian

DSA-2421-1 moodle -- Plusieurs vulnérabilités

Date du rapport :
29 février 2012
Paquets concernés :
moodle
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-4308, CVE-2011-4584, CVE-2011-4585, CVE-2011-4586, CVE-2011-4587, CVE-2011-4588, CVE-2012-0792, CVE-2012-0793, CVE-2012-0794, CVE-2012-0795, CVE-2012-0796.
Plus de précisions :

Plusieurs problèmes de sécurité ont été corrigés dans Moodle, un système de gestion de cours pour apprentissage en ligne.

  • CVE-2011-4308 CVE-2012-0792

    Rossiani Wijaya a découvert une fuite d'informations dans mod/forum/user.php.

  • CVE-2011-4584

    L'authentification MNet n'empêchait pas un utilisateur utilisant Se connecter sous ce nom de sauter vers un SSO MNet retiré.

  • CVE-2011-4585

    Darragh Enright a découvert que le formulaire de modification de mot de passe était envoyé en clair (HTTP) même si httpslogin était défini à true.

  • CVE-2011-4586

    David Michael Evans et German Sanchez Gances ont découvert des vulnérabilités d'injection de fin de ligne (CRLF) ou de découpage de réponse HTTP dans le module Calendar.

  • CVE-2011-4587

    Stephen Mc Guiness a découvert que des mots de passe vides pourraient être entrés dans certaines circonstances.

  • CVE-2011-4588

    Patrick McNeill a découvert que des restrictions d'adresses IP pourraient être contournées dans MNet.

  • CVE-2012-0796

    Simon Coggins a découvert que des renseignements supplémentaires pourraient être injectés dans les en-têtes de courrier électronique.

  • CVE-2012-0795

    John Ehringer a découvert que les adresses électroniques n'étaient pas assez vérifiées.

  • CVE-2012-0794

    Rajesh Taneja a découvert que le chiffrement de cookie utilisait une clef constante.

  • CVE-2012-0793

    Eloy Lafuente a découvert que les images de profil n'étaient pas assez protégées. Une nouvelle option de configuration forceloginforprofileimages a été introduite pour cela.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.9.9.dfsg2-2.1+squeeze3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.9.9.dfsg2-5.

Nous vous recommandons de mettre à jour vos paquets moodle.