Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2467-1 mahara

Säkerhetsbulletin från Debian

DSA-2467-1 mahara -- osäkra standardinställningar

Rapporterat den:

2012-05-09

Berörda paket:

mahara

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-2351.

Ytterligare information:

Man har upptäckt att Mahara, portfolio, weblog, och resumébyggaren hade en osäker standardinställning med tanke på SAML-baserad autentisering som används av mer än en tillhandahållare av SAML-identiteter. Någon med kontroll över en IdP kunde personifiera användare från andra IdP's.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.2.6-2+squeeze4.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har detta problem rättats i version 1.4.2-1.

Vi rekommenderar att ni uppgraderar era mahara-paket.