[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:56003] [Translate] [SECURITY] [DSA 2421-1] moodle security update
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。
------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2421-1 security@debian.org
http://www.debian.org/security/ Moritz Muehlenhoff
February 29, 2012 http://www.debian.org/security/faq
- -------------------------------------------------------------------------
Package : moodle
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE ID : CVE-2011-4308 CVE-2011-4584 CVE-2011-4585 CVE-2011-4586
CVE-2011-4587 CVE-2011-4588 CVE-2012-0792 CVE-2012-0793
CVE-2012-0794 CVE-2012-0795 CVE-2012-0796
オンライン学習向け履修科目管理システム Moodle に複数のセキュリティ問
題が発見されました。
CVE-2011-4308 / CVE-2012-0792
Rossiani Wijaya さんにより、mod/forum/user.php での情報漏洩が発見
されました。
CVE-2011-4584
MNET 認証は、ユーザが MNET SSO を除去するために "Login As" を使っ
て飛ぶ込むことを防止できていませんでした。
CVE-2011-4585
Darragh Enright さんにより、パスワード変更フォームが httpslogin
を "true" としている場合にも平文で送られていることが発見されまし
た。
CVE-2011-4586
David Michael Evans さんと German Sanchez Gances さんにより、
Calendar モジュールに CRLF インジェクション脆弱性と HTTP レスポン
ス分割脆弱性が発見されました。
CVE-2011-4587
Stephen Mc Guiness さんにより、特定条件下で空のパスワードを設定可
能であることが発見されました。
CVE-2011-4588
Patrick McNeill さんにより、MNET で IP アドレス制限が迂回可能であ
ることが発見されました。
CVE-2012-0796
Simon Coggins さんにより、メールヘッダに追加情報を挿入可能であるこ
とが発見されました。
CVE-2012-0795
John Ehringer さんにより、電子メールアドレスの検証が不十分であるこ
とが発見されました。
CVE-2012-0794
Rajesh Taneja さんにより、cookie 暗号化で固定の鍵が使われているこ
とが発見されました。
CVE-2012-0793
Eloy Lafuente さんにより、プロファイル画像の保護が不十分であること
が発見されました。この対策として "forceloginforprofileimages" オプ
ションが導入されました。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
ジョン 1.9.9.dfsg2-2.1+squeeze3 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバー
ジョン 1.9.9.dfsg2-5 で修正されています。
直ぐに moodle パッケージをアップグレードすることを勧めます。
Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxxxxxxxxx
---------------------------------------------------------