Bulletin d'alerte Debian
DSA-1691-1 moodle -- Plusieurs vulnérabilités
- Date du rapport :
- 22 décembre 2008
- Paquets concernés :
- moodle
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 432264, Bogue 471158, Bogue 489533, Bogue 492492, Bogue 504235, Bogue 504345, Bogue 508593.
Dans le dictionnaire CVE du Mitre : CVE-2007-3555, CVE-2008-1502, CVE-2008-3325, CVE-2008-3326, CVE-2008-4796, CVE-2008-4810, CVE-2008-4811, CVE-2008-5432. - Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans Moodle, un système de gestion de cours en ligne. Les problèmes suivants sont traités dans cette mise à jour, du script intersite à l'exécution de code à distance.
Plusieurs problèmes de script intersite dans le code de Moodle (CVE-2008-3326, CVE-2008-3325, CVE-2007-3555, CVE-2008-5432, MSA-08-0021, MDL-8849, MDL-12793, MDL-11414, MDL-14806 et MDL-10276).
Plusieurs vulnérabilités de requête intersite contrefaite dans le code de Moodle (CVE-2008-3325 et MSA-08-0023).
Bogues d'augmentation de droits dans le code de Moodle (MSA-08-0001 et MDL-7755).
Problème d'injection SQL dans le module hotpot (MSA-08-0010).
Une copie embarquée de Smarty était victime de plusieurs vulnérabilités (CVE-2008-4811, CVE-2008-4810). Une copie embarquée de Snoopy était vulnérable au script intersite (CVE-2008-4796). Une copie embarquée de Kses était vulnérable au script intersite (CVE-2008-1502).
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.6.3-2+etch1.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.8.2.dfsg-2.
Nous vous recommandons de mettre à jour votre paquet moodle (1.6.3-2+etch1).
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1.dsc
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.