Debians sikkerhedsbulletin

DSA-2206-1 mahara -- flere sårbarheder

Rapporteret den:
29. mar 2011
Berørte pakker:
mahara
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-0439, CVE-2011-0440.
Yderligere oplysninger:

To sikkerhedssårbarheder blev opdaget i Mahara, en elektronisk portfolio, weblog, CV-program og socialt netværk-system:

  • CVE-2011-0439

    Ved en sikkerhedsgennemgang iværksat af en Mahara-bruger, opdagede man at Mahara behandler inddata uden at de fornuftighedskontrollerede, hvilket kunne føre til udførelse af skripter på tværs af websteder (XSS).

  • CVE-2011-0440

    Mahara Developers opdagede at Mahara ikke kontrollerer sessionsnøglen under visse omstændigheder, hvilket kunne udnyttes i forbindelse med udførelse af forespørgsler på tværs af websteder (CRSF) og kunne føre til sletning af blogge.

I den gamle stabile distribution (lenny) er disse problemer rettet i version 1.0.4-4+lenny8.

I den stabile distribution (squeeze) er disse problemer rettet i version 1.2.6-2+squeeze1.

I den ustabile distribution (sid) er disse problemer rettet i version 1.2.7.

Vi anbefaler at du opgraderer din mahara-pakke.