Debian DSA-1986-1 : moodle - 複数の脆弱性

medium Nessus プラグイン ID 44850

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

オンラインコース管理システムである Moodle で、複数の脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2009-4297 複数のクロスサイトリクエスト偽造（CSRF）の脆弱性が発見されました。

- CVE-2009-4298 LAMS モジュールがユーザーアカウント情報の漏洩に脆弱であることが判明しました。

- CVE-2009-4299 Glossary モジュールのアクセスコントロール機構は不十分です。

- CVE-2009-4301 MNET サービスを有効にした際に、Moodle が権限を適切にチェックしないために、認証されたリモートサーバーが任意の MNET 関数を実行する可能性があります。

- CVE-2009-4302 login/index_form.html ページが、SSL セキュア接続を使用する代わりに、HTTP ページにリンクします。

- CVE-2009-4303 Moodle が機密データをバックアップファイルに保存するために、攻撃者がそれらを取得する可能性があります。

- CVE-2009-4305 SCORM モジュールが SQL インジェクションに脆弱であることが判明しました。

さらに、update_record 関数の SQL インジェクション、シンボリックリンクの問題、および Glossary、データベースおよびフォーラム評価の検証問題が修正されました。

ソリューション

moodle パッケージをアップグレードしてください。

安定版（stable）ディストリビューション（lenny）では、この問題は、バージョン 1.8.2.dfsg-3+lenny3 で修正済みです。

旧安定版（oldstable）ディストリビューション（etch）では、利用可能な修正済みのパケージは存在せず、多数の修正をバックポートすることは非常に困難なため不可能です。このため、lenny バージョンにアップグレードすることをお勧めします。