Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2338-1 moodle

Bulletin d'alerte Debian

DSA-2338-1 moodle -- Plusieurs vulnérabilités

Date du rapport :

7 novembre 2011

Paquets concernés :

moodle

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Plusieurs problèmes de script intersite et de divulgation d'informations ont été corrigés dans Moodle, un système de gestion de cours pour apprentissage en ligne :

• MSA-11-0020

  le suivi de liens dans les messages d'erreur peut conduire hors du site ;

• MSA-11-0024

  les images de reCAPTCHA étaient authentifiées depuis un serveur plus ancien ;

• MSA-11-0025

  les noms de groupe des envois CSV de l'utilisateur n'étaient pas protégés ;

• MSA-11-0026

  des champs d'envois CSV de l'utilisateur n'étaient pas protégés ;

• MSA-11-0031

  problème de constante dans l'interface de programmation de formulaires ;

• MSA-11-0032

  problème de validation SSL MNET ;

• MSA-11-0036

  vulnérabilité de rafraîchissement de message ;

• MSA-11-0037

  vulnérabilité d'injection dans l'édition de section de cours ;

• MSA-11-0038

  protection d'injection de base de données renforcée.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.9.9.dfsg2-2.1+squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.9.9.dfsg2-4.

Nous vous recommandons de mettre à jour vos paquets moodle.