Рекомендация Debian по безопасности

DSA-1924-1 mahara -- несколько уязвимостей

Дата сообщения:
31.10.2009
Затронутые пакеты:
mahara
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2009-3298, CVE-2009-3299.
Более подробная информация:

В mahara, электронном портфолио, блоге и программе построения резюме, было обнаружено две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2009-3298

    Руслан Кабалин обнаружил проблему со сбросом паролей, которая может приводить к повышению привилегий до уровня администратора организации.

  • CVE-2009-3299

    Свен Фетч обнаружил межсайтовый скриптинг, который можно вызвать через поля резюме.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.0.4-4+lenny4.

В предыдущем стабильном выпуске (etch) пакет mahara отсутствует.

В тестируемом (squeeze) и нестабильном (sid) выпуска эта проблема будет исправлена позже.

Рекомендуется обновить пакеты mahara.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny4.dsc
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny4.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny4_all.deb
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny4_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.