Debians sikkerhedsbulletin
DSA-1724-1 moodle -- flere sårbarheder
- Rapporteret den:
- 13. feb 2009
- Berørte pakker:
- moodle
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 514284.
I Mitres CVE-ordbog: CVE-2009-0500, CVE-2009-0502, CVE-2008-5153. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget Moodle, et onlinesystem til kursushåndtering. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2009-0500
Man opdagede at oplysningerne gemt i logtabellerne ikke var fornuftighedskontrollet på rettet vis, hvilket kunne gøre det muligt for angribere at indsprøjte vilkårlig webkode.
- CVE-2009-0502
Man opdagede at visse inddata gennem funktionen "Login as" ikke på korrekt vis for fornuftighedskontrollerede, hvilket kunne føre til indsprøjtning af vilkårligt webskript.
- CVE-2008-5153
Dmitry E. Oboukhov opdagede at plugin'en SpellCheker oprettede midlertidige filer på usikker vis, hvilket muliggjorde lammelsesangreb (denial of service). Da plugin'en ikke blev anvendt, er den fjernet i denne opdatering.
I den stabile distribution (etch) er disse problemer rettet i version 1.6.3-2+etch2.
I distributionen testing (lenny) er disse problemer rettet i version 1.8.2.dfsg-3+lenny1.
I den ustabile (sid) distribution er disse problemer rettet i version 1.8.2.dfsg-4.
Vi anbefaler at du opgraderer din moodle-pakke.
- CVE-2009-0500
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.dsc
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.diff.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.
