dsa-2115.wml 4.89 KB
Newer Older
Kaare Olsen's avatar
Kaare Olsen committed
1 2 3 4 5 6 7 8
<define-tag description>flere sårbarheder</define-tag>
<define-tag moreinfo>
<p>Flere fjernudnytbare sårbarheder er opdaget i Moodle, et 
kursusadministreringssystem.  Projektet Common Vulnerabilities and Exposures har
registreret følgende problemer:</p>

<ul>

9
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1613">CVE-2010-1613</a>
Kaare Olsen's avatar
Kaare Olsen committed
10

11 12
	<p>Moodle har ikke som standard aktiveret indstillingen <q>Regenerate 
	session id during login</q>, hvilket gør det lettere for fjernangribere at
Kaare Olsen's avatar
Kaare Olsen committed
13 14
	udføre session fixation-angreb.</p></li>

15
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1614">CVE-2010-1614</a>
Kaare Olsen's avatar
Kaare Olsen committed
16 17 18 19 20 21 22 23

	<p>Flere sårbarheder i forbindelse med udførelse af skripter på tværs af
	websteder (XSS) gjorde det muligt for fjernangribere at indsprøjte 
	vilkårligt webskript eller HTML via angrebsvinkler relateret til (1) 
	Login-As-funktionaliteten, eller (2), når den globale søgefunktion var 
	aktiveret, uspecificerede globale søgeformularer i Global Search 
	Engine.</p></li>

24
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1615">CVE-2010-1615</a>
Kaare Olsen's avatar
Kaare Olsen committed
25 26 27 28 29 30 31

	<p>Flere sårbarheder i forbindelse med indsprøjtning af SQL, gjorde det 
	muligt for fjernangribere at udføre vilkårlig SQL-kommandoer via 
	angrebsvinkler relateret til (1) funktionen add_to_log i 
	mod/wiki/view.php i wiki-modulet, or (2) datavalidering i nogle 
	formularelementer relateret til lib/form/selectgroups.php.</p></li>

32
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1616">CVE-2010-1616</a>
Kaare Olsen's avatar
Kaare Olsen committed
33 34 35 36 37

	<p>Moodle kunne oprette nye roller når et kursus blev gendannet, hvilket
	gjorde det muligt for undervisere at oprette nye konti, selv hvis de 
	ikke havde rettigheden moodle/user:create.</p></li>

38
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1617">CVE-2010-1617</a>
Kaare Olsen's avatar
Kaare Olsen committed
39 40 41 42 43

	<p>user/view.php kontrollerer ikke på korrekt vis en rolle, hvilket 
	gjorde det muligt for fjernautentificerede brugere at få adgang til de 
	fulde navne på andre brugere via kursusprofilsiden.</p></li>

44
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1618">CVE-2010-1618</a>
Kaare Olsen's avatar
Kaare Olsen committed
45 46 47 48 49 50 51

	<p>En sårbarhed i forbindelse med udførelse af skripter på tværs af
	websteder (XSS) i phpCAS-klientbiblioteket, gjorde det muligt for 
	fjernangribere at indsprøjte vilkårligt webskript eller HTML via en 
	fabrikeret URL, hvilket ikke på korrekt vis blev håndteret i en 
	fejlmeddelelse.</p></li>

52
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1619">CVE-2010-1619</a>
Kaare Olsen's avatar
Kaare Olsen committed
53 54 55 56 57 58 59

	<p>En sårbarhed i forbindelse med udførelse af skripter på tværs af
	websteder (XSS) i funktionen fix_non_standard_entities i KSES, et 
	bibliotek til HTML-tekst-oprydning (weblib.php), gjorde det muligt for
	fjernangribere at indsprøjte vilkårligt webskript eller HTML via 
	fabrikerede HTML-entiteter.</p></li>

60
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-2228">CVE-2010-2228</a>
Kaare Olsen's avatar
Kaare Olsen committed
61 62 63 64 65 66

	<p>En sårbarhed i forbindelse med udførelse af skripter på tværs af
	websteder (XSS) i MNET, adgangskontrolinterfacet, gjorde det muligt 
	for fjernangribere at indsprøjte vilkårligt webskript eller HTML via
	angrebsvinkler, som omfatter udvidede tegn i brugernavne.</p></li>

67
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-2229">CVE-2010-2229</a>
Kaare Olsen's avatar
Kaare Olsen committed
68 69 70 71 72 73

	<p>Flere sårbarheder i forbindelse med udførelse af skripter på tværs af
	websteder (XSS) i blog/index.php, gjorde det muligt for fjernangribere
	at indsprøjte vilkårligt webskript eller HTML via uspecificerede 
	parametre.</p></li>

74
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-2230">CVE-2010-2230</a>
Kaare Olsen's avatar
Kaare Olsen committed
75 76 77 78 79 80

	<p>KSES, tekstoprydningsfilteret i lib/weblib.php, håndterede ikke på 
	korrekt vis vbscript-URI'er, hvilket gjorde det muligt for 
	fjernautentificerede brugere at udføre skripter på tværs af websteder
	(XSS) via HTML-inddata.</p></li>

81
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-2231">CVE-2010-2231</a>
Kaare Olsen's avatar
Kaare Olsen committed
82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

	<p>En sårbarhed i forbindelse med forfalskning af forespørgsler på 
	tværs af websteder (CSRF) i report/overview/report.php i quiz-modulet,
	gjorde det muligt for fjernangribere at kapre autentificeringen af 
	vilkårlige brugere, til forespørgsler som sletter quiz-forsøg via 
	parameteret attemptid.</p></li>

</ul>

<p>Denne sikkerhedsopdatering skifter til en ny opstrømsversion og kræver 
databaseopdateringer.  Efter installering af den rettede pakke, skal du besøge
siden &lt;http://localhost/moodle/admin/&gt; og følge 
opdateringsvejledningen.</p>

<p>I den stabile distribution (lenny), er disse problemer rettet i
version 1.8.13-1.</p>

<p>I den ustabile distribution (sid), er disse problemer rettet i
version 1.9.9.dfsg2-1.</p>

<p>Vi anbefaler at du opgraderer din moodle-pakke.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2115.data"
107
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"