Информация по безопасности / 2011 / Информация о безопасности -- DSA-2206-1 mahara

Рекомендация Debian по безопасности

DSA-2206-1 mahara -- несколько уязвимостей

Дата сообщения:

29.03.2011

Затронутые пакеты:

mahara

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-0439, CVE-2011-0440.

Более подробная информация:

В Mahara, полнофункциональном электронном портфолио, блоге, программе построения резюме и системе работы с социальными сетями, было обнаружено две уязвимости:

• CVE-2011-0439

  Проверка безопасности, выполненная пользователем Mahara, обнаружила, что Mahara обрабатывает неочищенные входные данные, которые при их обработке могут приводить к межсайтовому скриптингу (XSS).

• CVE-2011-0440

  Разработчики Mahara обнаружили, что Mahara не выполняет проверку ключа сессии при определённых обстоятельствах, что может использоваться в качестве подделки межсайтового запроса (CSRF) и может приводить к удалению блогов.

В предыдущем стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.0.4-4+lenny8.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.2.6-2+squeeze1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.2.7.

Рекомендуется обновить пакет mahara.