Debians sikkerhedsbulletin
DSA-2467-1 mahara -- usikre standardindstillinger
- Rapporteret den:
- 9. maj 2012
- Berørte pakker:
- mahara
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2012-2351.
- Yderligere oplysninger:
-
Man opdagede, at Mahara, et portfolio-, weblog- og CV-program, havde usikre standardindstillinger med hensyn til SAML-baseret autentificering benyttet med mere end en SAML-identitetsleverandør. Nogen med kontrol over en IdP, kunne give sig ud for brugere fra andre IdP'er.
I den stabile distribution (squeeze), er dette problem rettet i version 1.2.6-2+squeeze4.
I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1.4.2-1.
Vi anbefaler at du opgraderer dine mahara-pakker.