Debian DSA-2246-1：mahara - 複数の脆弱性

medium Nessus プラグイン ID 55034

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

いくつかの脆弱性が、電子的ポートフォリオ、ブログおよびレジュメビルダーである Mahara で発見されました。Common Vulnerabilities and Exposuresプロジェクトは次の問題を特定しています：

- CVE-2011-1402 Mahara の以前のバージョンでは、ユーザーを表示または一時停止するための秘密の URL を追加する前に、ユーザー認証情報をチェックしないことが判明しました。

- CVE-2011-1403 Mahara の Pieform パッケージの構成の誤りのために、そのフォームを強化するために Mahara が依存している、クロスサイトリクエスト偽造保護機構が機能せず、本質的に無効化されていました。これは重大な脆弱性であり、攻撃者が他のユーザー（管理者など）を騙して、攻撃者に代わって悪意のある動作を実行させる可能性があります。
ほとんどの Mahara フォームは脆弱です。

- CVE-2011-1404 その AJAX インタラクションのために Mahara から戻される JSON 構造体の多くには、ログインユーザーに開示するべきものを超える情報が含まれています。Mahara の新バージョンでは、この情報が各ページで必要なものに制限されます。

- CVE-2011-1405 Mahara の以前のバージョンでは、ユーザーに送信される HTML 電子メールの内容をエスケープしませんでした。ユーザーのメールリーダーで有効にされたフィルターによっては、クロスサイトスクリプティング攻撃につながる可能性があります。

- CVE-2011-1406 Mahara が HTTPS を使用するように（その wwwroot 変数を介して）構成されている場合でも、Web サーバーが両方のプロトコルでコンテンツを表示するように構成されている場合、HTTP バージョンを介してユーザーにログインするように勧めることが、我々に指摘されました。Mahara の新しいバージョンは、wwwroot が HTTPS URL を指し示す際には、HTTP 上で実行されていることが検出された場合、自動的に HTTPS にリダイレクトします。

HTTPS で Mahara を実行しようとするサイトでは、コンテンツを HTTP 上で提供せず、セキュアバージョンにリダイレクトするように Web サーバーの構成を設定することをお勧めします。サイト管理者が Web サーバー構成に HSTS ヘッダーを追加することを考慮することも、我々は提案します。

ソリューション

mahara パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（lenny）では、これらの問題はバージョン 1.0.4-4+lenny10 で修正されています。

安定版（stable）ディストリビューション（squeeze）では、これらの問題はバージョン1.2.6-2+squeeze2で修正されています。