Bulletin d'alerte Debian

DSA-2421-1 moodle -- Plusieurs vulnérabilités

Date du rapport :

29 février 2012

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs problèmes de sécurité ont été corrigés dans Moodle, un système de gestion de cours pour apprentissage en ligne.

CVE-2011-4308 CVE-2012-0792
Rossiani Wijaya a découvert une fuite d'informations dans mod/forum/user.php.
CVE-2011-4584
L'authentification MNet n'empêchait pas un utilisateur utilisant Se connecter sous ce nom de sauter vers un SSO MNet retiré.
CVE-2011-4585
Darragh Enright a découvert que le formulaire de modification de mot de passe était envoyé en clair (HTTP) même si httpslogin était défini à true.
CVE-2011-4586
David Michael Evans et German Sanchez Gances ont découvert des vulnérabilités d'injection de fin de ligne (CRLF) ou de découpage de réponse HTTP dans le module Calendar.
CVE-2011-4587
Stephen Mc Guiness a découvert que des mots de passe vides pourraient être entrés dans certaines circonstances.
CVE-2011-4588
Patrick McNeill a découvert que des restrictions d'adresses IP pourraient être contournées dans MNet.
CVE-2012-0796
Simon Coggins a découvert que des renseignements supplémentaires pourraient être injectés dans les en-têtes de courrier électronique.
CVE-2012-0795
John Ehringer a découvert que les adresses électroniques n'étaient pas assez vérifiées.
CVE-2012-0794
Rajesh Taneja a découvert que le chiffrement de cookie utilisait une clef constante.
CVE-2012-0793
Eloy Lafuente a découvert que les images de profil n'étaient pas assez protégées. Une nouvelle option de configuration forceloginforprofileimages a été introduite pour cela.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.9.9.dfsg2-2.1+squeeze3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.9.9.dfsg2-5.

Nous vous recommandons de mettre à jour vos paquets moodle.