Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2334-1 mahara

Debians sikkerhedsbulletin

DSA-2334-1 mahara -- flere sårbarheder

Rapporteret den:

4. nov 2011

Berørte pakker:

mahara

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-2771, CVE-2011-2772, CVE-2011-2773.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Mahara, en elektronisk portfolio, weblog, CV-program:

• CVE-2011-2771

  Teemu Vesala opdagede, at manglende fornuftighedskontrol af RSS-feeds kunne føre til udførelse af skripter på tværs af websteder.

• CVE-2011-2772

  Richard Mansfield opdagede, at utilstrækkelige uploadbegrænsninger muliggjorde lammelsesangreb (denial of service).

• CVE-2011-2773

  Richard Mansfield opdagede, håndteringen af institutioner var sårbar over for forespørgselsforfalskninger på tværs af websteder.

• (CVE-ID endnu ikke tilgængelig)

  Andrew Nichols opdagede en rettighedsforøgelsessårbarhed i MNet-håndteringen.

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.0.4-4+lenny11.

I den stabile distribution (squeeze), er dette problem rettet i version 1.2.6-2+squeeze3.

I den ustabile distribution (sid), er dette problem rettet i version 1.4.1-1.

Vi anbefaler at du opgraderer dine mahara-pakker.