Säkerhetsbulletin från Debian
DSA-1986-1 moodle -- flera sårbarheter
- Rapporterat den:
- 2010-02-02
- Berörda paket:
- moodle
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 559531.
I Mitres CVE-förteckning: CVE-2009-4297, CVE-2009-4298, CVE-2009-4299, CVE-2009-4301, CVE-2009-4302, CVE-2009-4303, CVE-2009-4305. - Ytterligare information:
-
Flera sårbarheter har upptäckts i Moodle, ett kurshanteringssystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-4297
Multiple cross-site request forgery (CSRF) vulnerabilities have been
Flera serveröverskridande förfrågesårbarheter (CSRF) har upptäckts.
- CVE-2009-4298
It has been discovered that the LAMS module is prone to the disclosure
Det har upptäckts att LAMS-modulen är sårbar för läckage av information om användarkonton.
- CVE-2009-4299
Glossary-modulen har en otillräcklig mekanism för åtkomstkontroll.
- CVE-2009-4301
Moodle kontrollerar inte rättigheter tillräckligt när tjänsten MNET aktiveras, vilket tillåter autentiserade användare utifrån att exekvera godtyckliga MNET-funktioner.
- CVE-2009-4302
Sidan login/index_form.html länkar till en HTTP-sida istället för att använda en SSL-säkrad anslutning.
- CVE-2009-4303
Moodle lagrar känslig data i säkerhetskopior av filer, vilket kan göra det möjligt för angripare att få tag på denna data.
- CVE-2009-4305
Det har upptäckts att SCORM-modulen är sårbar för en SQL-injicering.
Dessutom har en SQL-injicering i funktionen update_record function, ett problem with symbolic links and a verification problem with Glossary, database med symboliska länkar och ett verifieringsproblem med Glossary, databasen och forumgraderingar rättats.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 1.8.2.dfsg-3+lenny3.
För den gamla stabila utgåvan (Etch) finns inga rättade paket available and it is too hard to backport many of the fixes. Therefore, tillgängliga och flera av rättelserna är svåra att bakåtanpassa. Därför rekommenderar vi en uppgradering till versionen i Lenny.
För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 1.8.2.dfsg-6.
Vi rekommenderar att ni uppgraderar era moodle-paket.
- CVE-2009-4297
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3.dsc
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3.diff.gz
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/m/moodle/moodle_1.8.2.dfsg-3+lenny3_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.