Säkerhetsbulletin från Debian

DSA-2421-1 moodle -- flera sårbarheter

Rapporterat den:
2012-02-29
Berörda paket:
moodle
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-4308, CVE-2011-4584, CVE-2011-4585, CVE-2011-4586, CVE-2011-4587, CVE-2011-4588, CVE-2012-0792, CVE-2012-0793, CVE-2012-0794, CVE-2012-0795, CVE-2012-0796.
Ytterligare information:

Flera säkerhetsproblem har rättats i Moodle, ett kurshanteringssystem för onlinelärande.

  • CVE-2011-4308 / CVE-2012-0792

    Rossiani Wijaya upptäckte ett informationsläckage i mod/forum/user.php.

  • CVE-2011-4584

    MNet-auktorisering förhindrade inte en användare som använder Login as från hoppa till en remove MNet SSO.

  • CVE-2011-4585

    Darragh Enright upptäckte ett formuläret för att ändra lösenord skickades över ren HTTP även om httpslogin var satt till true.

  • CVE-2011-4586

    David Michael Evans och German Sanchez Gances upptäckte CRLF-injicering/HTTP-svarsdelningssårbarheter i Kalender-modulen.

  • CVE-2011-4587

    Stephen Mc Guiness upptäckte att tomma lösenord kunde matas in under vissa omständigheter.

  • CVE-2011-4588

    Patrick McNeill upptäckte att IP-adressrestriktioner kunde förbigås i MNet.

  • CVE-2012-0796

    Simon Coggins upptäckte att ytterligare information kunde injiceras i mailrubriker.

  • CVE-2012-0795

    John Ehringer upptäckte att e-postadresser validerades otillräckligt.

  • CVE-2012-0794

    Rajesh Taneja upptäckte att kakkryptering använde en fast nyckel.

  • CVE-2012-0793

    Eloy Lafuente upptäckte att profilbilder skyddades otillräckligt. En ny konfigurationsinställning forceloginforprofileimages har introducerats för detta.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.9.9.dfsg2-2.1+squeeze3.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.9.9.dfsg2-5.

Vi rekommenderar att ni uppgraderar era moodle-paket.