Bulletin d'alerte Debian
DSA-2067-1 mahara -- Plusieurs vulnérabilités
- Date du rapport :
- 2 juillet 2010
- Paquets concernés :
- mahara
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2010-1667, CVE-2010-1668, CVE-2010-1670, CVE-2010-2479.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Mahara, un portefeuille électronique complet, blog et constructeur de curriculum vitæ. Le projet
Common Vulnerabilities and Exposures
(CVE) identifie les problèmes suivants.- CVE-2010-1667
Plusieurs pages réalisaient une vérification d'entrée insuffisante, les rendant vulnérables aux attaques par script intersite.
- CVE-2010-1668
Plusieurs formulaires manquaient d'une protection contre les attaques par contrefaçon de requête intersite, les rendant ainsi vulnérables.
- CVE-2010-1670
Gregor Anzelj a découvert qu'une installation de Mahara peut être configurée par accident pour permettre l'accès à un autre compte d'utilisateur sans mot de passe.
- CVE-2010-2479
Certaines vulnérabilités de script intersite spécifiques à Internet Explorer ont été découvertes dans HTML Purifier, dont une copie est embarquée dans le paquet mahara.
Pour la distribution stable (Lenny), les problèmes ont été corrigés dans la version 1.0.4-4+lenny6.
Pour la distribution testing (Squeeze), les problèmes seront corrigés prochainement.
Pour la distribution unstable (Sid), les problèmes ont été corrigés dans la version 1.2.5.
Nous vous recommandons de mettre à jour vos paquets mahara.
- CVE-2010-1667
- Corrigé dans :
-
Debian GNU/Linux 5.0 (stable)
- Source :
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.diff.gz
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6.dsc
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny6_all.deb
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6_all.deb
- http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny6_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.