2012年3月 1日

[debian-users:56003] [Translate] [SECURITY] [DSA 2421-1] moodle security update

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2421-1 security@xxxxx
http://www.debian.org/security/ Moritz Muehlenhoff

February 29, 2012 http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package : moodle
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2011-4308 CVE-2011-4584 CVE-2011-4585 CVE-2011-4586
CVE-2011-4587 CVE-2011-4588 CVE-2012-0792 CVE-2012-0793
CVE-2012-0794 CVE-2012-0795 CVE-2012-0796

オンライン学習向け履修科目管理システム Moodle に複数のセキュリティ問
題が発見されました。

CVE-2011-4308 / CVE-2012-0792

Rossiani Wijaya さんにより、mod/forum/user.php での情報漏洩が発見
されました。

CVE-2011-4584

MNET 認証は、ユーザが MNET SSO を除去するために "Login As" を使っ
て飛ぶ込むことを防止できていませんでした。

CVE-2011-4585

Darragh Enright さんにより、パスワード変更フォームが httpslogin
を "true" としている場合にも平文で送られていることが発見されまし
た。

CVE-2011-4586

David Michael Evans さんと German Sanchez Gances さんにより、
Calendar モジュールに CRLF インジェクション脆弱性と HTTP レスポン
ス分割脆弱性が発見されました。

CVE-2011-4587

Stephen Mc Guiness さんにより、特定条件下で空のパスワードを設定可
能であることが発見されました。

CVE-2011-4588

Patrick McNeill さんにより、MNET で IP アドレス制限が迂回可能であ
ることが発見されました。

CVE-2012-0796

Simon Coggins さんにより、メールヘッダに追加情報を挿入可能であるこ
とが発見されました。

CVE-2012-0795

John Ehringer さんにより、電子メールアドレスの検証が不十分であるこ
とが発見されました。

CVE-2012-0794

Rajesh Taneja さんにより、cookie 暗号化で固定の鍵が使われているこ
とが発見されました。

CVE-2012-0793

Eloy Lafuente さんにより、プロファイル画像の保護が不十分であること
が発見されました。この対策として "forceloginforprofileimages" オプ
ションが導入されました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
ジョン 1.9.9.dfsg2-2.1+squeeze3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー
ジョン 1.9.9.dfsg2-5 で修正されています。

直ぐに moodle パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2012年3月 1日 22:29
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/108695
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。