Debian DSA-2421-1 : moodle - 複数の脆弱性

medium Nessus プラグイン ID 58172

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

オンライン学習のコース管理システムである Moodle で、複数のセキュリティ問題が修正されました：

- CVE-2011-4308/CVE-2012-0792 Rossiani Wijaya 氏は、mod/forum/user.php で情報漏洩を発見しました。

- CVE-2011-4584 MNet 認証は、「Login as」を使用するユーザーが、リモート MNet SSO に移動することを阻止していませんでした。

- CVE-2011-4585 Darragh Enright 氏は、パスワード変更フォームが、httpslogin が「true」に設定されていても、平文 HTTP で送信されていたことを発見しました。

- CVE-2011-4586 David Michael Evans 氏および German Sanchez Gances 氏は、Calendar モジュールにおいて CRLF インジェクション/HTTP 応答分割の脆弱性を発見しました。

- CVE-2011-4587 Stephen Mc Guiness 氏は、一部の状況において、空のパスワードが入力される可能性があることを発見しました。

- CVE-2011-4588 Patrick McNeill 氏は、IP アドレス制限が MNet でバイパスされる可能性があることを発見しました。

- CVE-2012-0796 Simon Coggins 氏は、追加情報がメールヘッダーに注入される可能性があることを発見しました。

- CVE-2012-0795 John Ehringer 氏は、電子メールアドレスが十分に検証されていないことを発見しました。

- CVE-2012-0794 Rajesh Taneja 氏は、クッキーの暗号化が固定キーを使用していたことを発見しました。

- CVE-2012-0793 Eloy Lafuente 氏は、プロファイル画像が十分に保護されていないことを発見しました。このために、新しい構成オプション「forceloginforprofileimages」が導入されていました。