Рекомендация Debian по безопасности
DSA-1691-1 moodle -- несколько уязвимостей
- Дата сообщения:
- 22.12.2008
- Затронутые пакеты:
- moodle
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 432264, Ошибка 471158, Ошибка 489533, Ошибка 492492, Ошибка 504235, Ошибка 504345, Ошибка 508593.
В каталоге Mitre CVE: CVE-2007-3555, CVE-2008-1502, CVE-2008-3325, CVE-2008-3326, CVE-2008-4796, CVE-2008-4810, CVE-2008-4811, CVE-2008-5432. - Более подробная информация:
-
В Moodle, системе онлайн управления курсами, было обнаружено несколько удалённых уязвимостей. В данном обновлении были исправлены проблемы, начиная от межсайтового скриптинга и заканчивая удалённым выполнением кода.
Различные случаи межсайтового скриптинга в кодовой базе Moodle (CVE-2008-3326, CVE-2008-3325, CVE-2007-3555, CVE-2008-5432, MSA-08-0021, MDL-8849, MDL-12793, MDL-11414, MDL-14806, MDL-10276).
Различные случаи подделки межсайтовых запросов в кодовой базе Moodle (CVE-2008-3325, MSA-08-0023).
Повышение привилегий в кодовой базе Moodle (MSA-08-0001, MDL-7755).
SQL-инъекция в модуле hotpot (MSA-08-0010).
Встроенная копия Smarty содержит несколько уязвимостей (CVE-2008-4811, CVE-2008-4810). Встроенная копия Snoopy уязвима к межсайтовому скриптингу (CVE-2008-4796). Встроенная копия Kses уязвима к межсайтовому скриптингу (CVE-2008-1502).
В стабильном выпуске (etch) эти проблемы были исправлены в версии 1.6.3-2+etch1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.8.2.dfsg-2.
Рекомендуется обновить пакет moodle (1.6.3-2+etch1).
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1.diff.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1.dsc
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.