Alerta de Segurança Debian
DSA-1030-1 moodle -- várias vulnerabilidades
- Data do Alerta:
- 08 Abr 2006
- Pacotes Afetados:
- moodle
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- No sistema de acompanhamento de bugs do Debian: Bug 349985, Bug 358872.
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 16187, ID BugTraq 16364, ID BugTraq 16720.
No dicionário CVE do Mitre: CVE-2006-0146, CVE-2006-0147, CVE-2006-0410, CVE-2006-0806. - Informações adicionais:
-
Várias vulnerabilidades foram descobertas no libphp-adodb, a camada de abstração 'adodb' para PHP, que está embutida no moodle, o sistema de gerenciamento de cursos para aprendizado on-line. O projeto [1]Common Vulnerabilities and Exposures identificou os seguintes problemas:
- CVE-2006-0146
Andreas Sandblad descobriu que a limpeza de entrada imprópria resulta em uma potencial vulnerabilidade de injeção SQL habilitando o atacante a comprometer aplicações, acessar ou modificar dados, ou explorar vulnerabilidades na implementação de banco de dados adjacente. Isto requer que a senha de root do MySQL esteja vazia. Isto é corrigido limitando o acesso ao script em questão.
- CVE-2006-0147
Uma vulnerabilidade de evolução de código permite a atacantes remotos executarem funções PHP arbitrárias através do parâmetro 'do'.
- CVE-2006-0410
Andy Staudacher descobriu uma vulnerabilidade de injeção SQL devido à insuficiente limpeza de entrada que permite a atacantes remotos executarem comandos SQL arbitrários.
- CVE-2006-0806
A GulfTech Security Research descobriu múltiplas vulnerabilidades de "cross-site scripting" devido à imprópria limpeza de entrada fornecida por usuário. Atacantes podem explorar estas vulnerabilidades para executar scripts arbitrários no navegador da máquina de um usuário desavisado, ou conseguir furtar credenciais de autenticação baseadas em "cookie".
A antiga distribuição estável ("woody") não contém o pacote moodle.
Para a distribuição estável ("sarge") estes problemas foram corrigidos na versão 1.4.4.dfsg.1-3sarge1.
Para a distribuição instável estes problemas serão corrigidos logo.
Recomendamos que você atualize seu pacote moodle.
- CVE-2006-0146
- Corrigido em:
-
Debian GNU/Linux 3.1 (sarge)
- Fonte:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.4.4.dfsg.1-3sarge1.dsc
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.4.4.dfsg.1-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.4.4.dfsg.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.4.4.dfsg.1-3sarge1.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.4.4.dfsg.1-3sarge1_all.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.