セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2421-1 moodle

Debian セキュリティ勧告

DSA-2421-1 moodle -- 複数の脆弱性

報告日時:

2012-02-29

影響を受けるパッケージ:

moodle

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-4308, CVE-2011-4584, CVE-2011-4585, CVE-2011-4586, CVE-2011-4587, CVE-2011-4588, CVE-2012-0792, CVE-2012-0793, CVE-2012-0794, CVE-2012-0795, CVE-2012-0796.

詳細:

オンライン学習向け履修科目管理システム Moodle に複数のセキュリティ問 題が発見されました。

• CVE-2011-4308 / CVE-2012-0792

  Rossiani Wijaya さんにより、mod/forum/user.php での情報漏洩が発見 されました。

• CVE-2011-4584

  MNET 認証では、Login As を使用しているユーザが他の MNET Single-Sign-On サイトに飛ぶことを防止できていませんでした。

• CVE-2011-4585

  Darragh Enright さんにより、パスワード変更フォームが httpslogin を "true" としている場合にも平文で送られていることが発見されまし た。

• CVE-2011-4586

  David Michael Evans さんと German Sanchez Gances さんにより、 Calendar モジュールに CRLF インジェクション脆弱性と HTTP レスポン ス分割脆弱性が発見されました。

• CVE-2011-4587

  Stephen Mc Guiness さんにより、特定条件下で空のパスワードを設定可 能であることが発見されました。

• CVE-2011-4588

  Patrick McNeill さんにより、MNET で IP アドレス制限が迂回可能であ ることが発見されました。

• CVE-2012-0796

  Simon Coggins さんにより、メールヘッダに追加情報を挿入可能であるこ とが発見されました。

• CVE-2012-0795

  John Ehringer さんにより、電子メールアドレスの検証が不十分であるこ とが発見されました。

• CVE-2012-0794

  Rajesh Taneja さんにより、cookie 暗号化で固定の鍵が使われているこ とが発見されました。

• CVE-2012-0793

  Eloy Lafuente さんにより、プロファイル画像の保護が不十分であること が発見されました。この対策として "forceloginforprofileimages" オプ ションが導入されました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.9.9.dfsg2-2.1+squeeze3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1.9.9.dfsg2-5 で修正されています。

直ぐに moodle パッケージをアップグレードすることを勧めます。