Debians sikkerhedsbulletin

DSA-2334-1 mahara -- flere sårbarheder

Rapporteret den:
4. nov 2011
Berørte pakker:
mahara
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-2771, CVE-2011-2772, CVE-2011-2773.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Mahara, en elektronisk portfolio, weblog, CV-program:

  • CVE-2011-2771

    Teemu Vesala opdagede, at manglende fornuftighedskontrol af RSS-feeds kunne føre til udførelse af skripter på tværs af websteder.

  • CVE-2011-2772

    Richard Mansfield opdagede, at utilstrækkelige uploadbegrænsninger muliggjorde lammelsesangreb (denial of service).

  • CVE-2011-2773

    Richard Mansfield opdagede, håndteringen af institutioner var sårbar over for forespørgselsforfalskninger på tværs af websteder.

  • (CVE-ID endnu ikke tilgængelig)

    Andrew Nichols opdagede en rettighedsforøgelsessårbarhed i MNet-håndteringen.

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.0.4-4+lenny11.

I den stabile distribution (squeeze), er dette problem rettet i version 1.2.6-2+squeeze3.

I den ustabile distribution (sid), er dette problem rettet i version 1.4.1-1.

Vi anbefaler at du opgraderer dine mahara-pakker.