Bulletin d'alerte Debian
DSA-1736-1 mahara -- Vérification d'entrées manquante
- Date du rapport :
- 10 mars 2009
- Paquets concernés :
- mahara
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-0660.
- Plus de précisions :
-
Mahara, un portefeuille électronique complet, blog et constructeur de curriculum vitæ, est prédisposé aux attaques par script intersite. Cela permet l'injection de code Java ou HTML arbitraire.
La distribution oldstable (Etch) ne contient pas mahara.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.0.4-4+lenny1.
Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ce problème sera corrigé prochainement.
Nous vous recommandons de mettre à jour votre paquet mahara.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny1.dsc
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny1_all.deb
- http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny1_all.deb
- http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.