Säkerhetsbulletin från Debian
DSA-2467-1 mahara -- osäkra standardinställningar
- Rapporterat den:
- 2012-05-09
- Berörda paket:
- mahara
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2012-2351.
- Ytterligare information:
-
Man har upptäckt att Mahara, portfolio, weblog, och resumébyggaren hade en osäker standardinställning med tanke på SAML-baserad autentisering som används av mer än en tillhandahållare av SAML-identiteter. Någon med kontroll över en IdP kunde personifiera användare från andra IdP's.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.2.6-2+squeeze4.
För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har detta problem rättats i version 1.4.2-1.
Vi rekommenderar att ni uppgraderar era mahara-paket.