Debian-Sicherheitsankündigung
DSA-1691-1 moodle -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 22. Dez 2008
- Betroffene Pakete:
- moodle
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 432264, Fehler 471158, Fehler 489533, Fehler 492492, Fehler 504235, Fehler 504345, Fehler 508593.
In Mitres CVE-Verzeichnis: CVE-2007-3555, CVE-2008-1502, CVE-2008-3325, CVE-2008-3326, CVE-2008-4796, CVE-2008-4810, CVE-2008-4811, CVE-2008-5432. - Weitere Informationen:
-
Mehrere entfernt auszunutzende Verwundbarkeiten wurden in Moodle, einem Management-System für Online-Kurse entdeckt. Folgende von Site-übergreifendem Skripting bis zur entfernten Ausführung von Code reichenden Verwundbarkeiten werden in dieser Sicherheitsaktualisierung behandelt.
Mehrere Probleme mit Site-übergreifendem Skripting in der Moodle Codebase (CVE-2008-3326, CVE-2008-3325, CVE-2007-3555, CVE-2008-5432, MSA-08-0021, MDL-8849, MDL-12793, MDL-11414, MDL-14806, MDL-10276).
Mehrere Probleme mit Site-übergreifender Anfragefälschung in der Moodle Codebase (CVE-2008-3325, MSA-08-0023).
Privilegieneskalationsfehler in der Moodle Codebase (MSA-08-0001, MDL-7755).
Eine Anfälligkeit für SQL-Einschleusung im hotpot-Modul (MSA-08-0010).
Eine eingebettete Kopie von Smarty hat mehrere Verwundbarkeiten (CVE-2008-4811, CVE-2008-4810).
Eine eingebettete Kopie von Snoopy ist für Site-übergreifendes Scripting verwundbar (CVE-2008-4796).
Eine eingebettete Kopie von Kses ist für Site-übergreifendes Scripting verwundbar (CVE-2008-1502).
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.6.3-2+etch1 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.8.2.dfsg-2 behoben.
Wir empfehlen Ihnen, Ihr moodle (1.6.3-2+etch1)-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1.dsc
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.