Debians sikkerhedsbulletin
DSA-1691-1 moodle -- flere sårbarheder
- Rapporteret den:
- 22. dec 2008
- Berørte pakker:
- moodle
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 432264, Fejl 471158, Fejl 489533, Fejl 492492, Fejl 504235, Fejl 504345, Fejl 508593.
I Mitres CVE-ordbog: CVE-2007-3555, CVE-2008-1502, CVE-2008-3325, CVE-2008-3326, CVE-2008-4796, CVE-2008-4810, CVE-2008-4811, CVE-2008-5432. - Yderligere oplysninger:
-
Flere fjernudnytbare sårbarheder er opdaget i Moodle, et online-kursushåndteringssystem. Følgende problemer er løst i forbindelse med denne opdatering, spændende fra udførelse af skripter på tværs af webservere til fjernudførelse af kode.
Forskellige problemer i forbindelse med udførelse af skripter på tværs af servere i Moodles kodebase (CVE-2008-3326, CVE-2008-3325, CVE-2007-3555, CVE-2008-5432, MSA-08-0021, MDL-8849, MDL-12793, MDL-11414, MDL-14806, MDL-10276).
Forskellige problemer i forbindelse med forespørgselsforfalskninger på tværs af servere Moodles kodebase (CVE-2008-3325, MSA-08-0023).
Rettighedsforøgelsesfejl i Moodles kodebase (MSA-08-0001, MDL-7755).
SQL-indsprøjtningsproblem i hotpot-modulet (MSA-08-0010).
En indlejret kopi af Smarty havde flere sårbarheder (CVE-2008-4811, CVE-2008-4810). En indlejret kopi af Snoopy var sårbar over for udførelse af skripter på tværs af servere (CVE-2008-4796). En indlejret kopi af Kses var sårbar over for udførelse af skripter på tværs af servere (CVE-2008-1502).
I den stabile distribution (etch), er disse problemer rettet i version 1.6.3-2+etch1.
I den ustabile distribution (sid), er disse problemer rettet i version 1.8.2.dfsg-2.
Vi anbefaler at du opgraderer din moodle (1.6.3-2+etch1)-pakke.
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1.dsc
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.