Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2246-1 mahara

Debians sikkerhedsbulletin

DSA-2246-1 mahara -- flere sårbarheder

Rapporteret den:

29. maj 2011

Berørte pakker:

mahara

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-1402, CVE-2011-1403, CVE-2011-1404, CVE-2011-1405, CVE-2011-1406.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Mahara, en elektronisk portfolio, weblog, CV-program og socialt netværk-system. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2011-1402

  Man opdagede at tidligere versioner af Mahara ikke kontrollerede brugeroplysninger før tilføjelse af en hemmelig URL til visning eller suspendering af en bruger.

• CVE-2011-1403

  På grund af en fejlkonfigurering af pakken Pieform i Mahara, var mekanismen til beskyttelse mod udførelse af forfalskede forespørgsler på tværs af websteder, som Mahara er afhængig af for at styrke sin formular, ikke-fungerende og i praksis slået fra. Det er en kritisk sårbarhed, som kan gøre det muligt for angribere at narre andre brugere (eksempelvis administratorer) til at udføre ondsindede handlinger på vegne af angriberen. De fleste Mahara-formularer er sårbare.

• CVE-2011-1404

  Mange af JSON-strukturerne, der returneres af Mahara i dets AJAX-interaktioner, indeholdt flere oplysninger end der burde afsløres til den indloggede bruger. Nye versioner af Mahara begrænser disse oplysninger til hvad der er nødvendigt, for hver enkelt side.

• CVE-2011-1405

  Tidligere versioner Mahara escapede ikke indholdet af HTML-e-mail sendt til brugere. Afhængigt af de filtre, som er aktiveret i ens mailprogram, kunne det føre til angreb i forbindelse med udførelse af skripter på tværs af websteder.

• CVE-2011-1406

  Vi er blevet gjort opmærksomme på, at hvis Mahara er opsat (gennem sin wwwroot-variabel) til at anvende HTTPS, vil programmet gladeligt lade brugerne logge på via HTTP-versionen af websteder, hvis webserveren er opsat til at levere indhold over begge protokoller. Den nye version af Mahara vil, når wwwroot peger på en HTTPS-URL, automatisk omdirigere til HTTPS, hvis den opdager at den kører over HTTP.

  Vi anbefaler, at websteder der ønsker at køre Mahara over HTTPS, sikrer sig at deres webserveropsætning ikke tillader levering af indhold over HTTP og blot omdirigerer til den sikre udgave. Vi foreslår også, at webstedsadministratorer overvejer at føje HSTS-headere til deres webserveropsætning.

I den gamle stabile distribution (lenny), er disse problemer rettet i version 1.0.4-4+lenny10.

I den stabile distribution (squeeze), er disse problemer rettet i version 1.2.6-2+squeeze2.

I distributionen testing (wheezy), er disse problemer rettet i version 1.3.6-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.3.6-1.

Vi anbefaler at du opgraderer dine mahara-pakker.