Debians sikkerhedsbulletin
DSA-2206-1 mahara -- flere sårbarheder
- Rapporteret den:
- 29. mar 2011
- Berørte pakker:
- mahara
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-0439, CVE-2011-0440.
- Yderligere oplysninger:
-
To sikkerhedssårbarheder blev opdaget i Mahara, en elektronisk portfolio, weblog, CV-program og socialt netværk-system:
- CVE-2011-0439
Ved en sikkerhedsgennemgang iværksat af en Mahara-bruger, opdagede man at Mahara behandler inddata uden at de fornuftighedskontrollerede, hvilket kunne føre til udførelse af skripter på tværs af websteder (XSS).
- CVE-2011-0440
Mahara Developers opdagede at Mahara ikke kontrollerer sessionsnøglen under visse omstændigheder, hvilket kunne udnyttes i forbindelse med udførelse af forespørgsler på tværs af websteder (CRSF) og kunne føre til sletning af blogge.
I den gamle stabile distribution (lenny) er disse problemer rettet i version 1.0.4-4+lenny8.
I den stabile distribution (squeeze) er disse problemer rettet i version 1.2.6-2+squeeze1.
I den ustabile distribution (sid) er disse problemer rettet i version 1.2.7.
Vi anbefaler at du opgraderer din mahara-pakke.
- CVE-2011-0439