Bulletin d'alerte Debian

DSA-1761-1 moodle -- Absence de vérification des entrées

Date du rapport :

3 avril 2009

Paquets concernés :

moodle

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 522116.
Dans le dictionnaire CVE du Mitre : CVE-2009-1171.

Plus de précisions :

Christian J. Eibl a découvert que le filtre TeX de Moodle, un système web de gestion de cours, ne vérifie pas l'entrée utilisateur pour certaines commandes TeX, ce qui permet à un attaquant d'inclure et afficher le contenu de fichiers systèmes arbitraires.

Veuillez noter que cela n'affecte pas les installations n'utilisant que l'environnement mimetex.

Pour la distribution oldstable (Etch), ce problème a été corrigé dans la version 1.6.3-2+etch3.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.8.2.dfsg-3+lenny2.

Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.8.2.dfsg-5.

Nous vous recommandons de mettre à jour vos paquets moodle.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :: http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch3.dsc; http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch3.diff.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/m/moodle/moodle_1.6.3-2+etch3_all.deb

Debian GNU/Linux 5.0 (lenny)

Source :: http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny2.diff.gz; http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny2.dsc
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.