Debian セキュリティ勧告

DSA-2421-1 moodle -- 複数の脆弱性

報告日時:
2012-02-29
影響を受けるパッケージ:
moodle
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-4308, CVE-2011-4584, CVE-2011-4585, CVE-2011-4586, CVE-2011-4587, CVE-2011-4588, CVE-2012-0792, CVE-2012-0793, CVE-2012-0794, CVE-2012-0795, CVE-2012-0796.
詳細:

オンライン学習向け履修科目管理システム Moodle に複数のセキュリティ問 題が発見されました。

  • CVE-2011-4308 / CVE-2012-0792

    Rossiani Wijaya さんにより、mod/forum/user.php での情報漏洩が発見 されました。

  • CVE-2011-4584

    MNET 認証では、Login As を使用しているユーザが他の MNET Single-Sign-On サイトに飛ぶことを防止できていませんでした。

  • CVE-2011-4585

    Darragh Enright さんにより、パスワード変更フォームが httpslogin を "true" としている場合にも平文で送られていることが発見されまし た。

  • CVE-2011-4586

    David Michael Evans さんと German Sanchez Gances さんにより、 Calendar モジュールに CRLF インジェクション脆弱性と HTTP レスポン ス分割脆弱性が発見されました。

  • CVE-2011-4587

    Stephen Mc Guiness さんにより、特定条件下で空のパスワードを設定可 能であることが発見されました。

  • CVE-2011-4588

    Patrick McNeill さんにより、MNET で IP アドレス制限が迂回可能であ ることが発見されました。

  • CVE-2012-0796

    Simon Coggins さんにより、メールヘッダに追加情報を挿入可能であるこ とが発見されました。

  • CVE-2012-0795

    John Ehringer さんにより、電子メールアドレスの検証が不十分であるこ とが発見されました。

  • CVE-2012-0794

    Rajesh Taneja さんにより、cookie 暗号化で固定の鍵が使われているこ とが発見されました。

  • CVE-2012-0793

    Eloy Lafuente さんにより、プロファイル画像の保護が不十分であること が発見されました。この対策として "forceloginforprofileimages" オプ ションが導入されました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.9.9.dfsg2-2.1+squeeze3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1.9.9.dfsg2-5 で修正されています。

直ぐに moodle パッケージをアップグレードすることを勧めます。