Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2246-1 mahara

Bulletin d'alerte Debian

DSA-2246-1 mahara -- Plusieurs vulnérabilités

Date du rapport :

29 mai 2011

Paquets concernés :

mahara

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1402, CVE-2011-1403, CVE-2011-1404, CVE-2011-1405, CVE-2011-1406.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Mahara, un portefeuille électronique complet, blog et constructeur de curriculum vitæ. Le projet Common Vulnerabilities and Exposures (CVE) identifie les problèmes suivants.

• CVE-2011-1402

  On a découvert que les versions précédentes de Mahara ne vérifiaient pas les pouvoirs des utilisateurs avant d'ajouter une URL confidentielle pour voir ou suspendre un utilisateur.

• CVE-2011-1403

  À cause d'un problème de configuration du paquet Pieform de Mahara, le mécanisme de protection contre la contrefaçon de requête intersite duquel Mahara dépend pour renforcer ses formulaires ne fonctionnait pas et était principalement désactivé. Cette vulnérabilité critique pourrait permettre aux attaquants de piéger d'autres utilisateurs (par exemple des administrateurs) dans la réalisation d'actions malveillantes de la part de l'attaquant. La plupart des formulaires de Mahara sont vulnérables.

• CVE-2011-1404

  De nombreuses structures JSON renvoyées par Mahara pour ses interactions AJAX contenaient plus de renseignements que prévus pour l'utilisateur connecté. Les nouvelles versions de Mahara limitent ses renseignements au strict nécessaire pour chaque page.

• CVE-2011-1405

  Les versions précédentes de Mahara ne protégeaient pas le contenu des courriers HTML envoyés aux utilisateurs. En fonction des filtres activés dans le client de messagerie, cela pouvait permettre les attaques par script intersite.

• CVE-2011-1406

  On a fait remarquer que si Mahara est configuré (via sa variable wwwroot) pour utiliser HTTPS, il laissera les utilisateurs se connecter sans problème par la version HTTP du site si le serveur web est configuré pour servir le contenu par les deux protocoles. La nouvelle version de Mahara, si wwwroot indique une URL HTTPS, redirigera automatiquement vers HTTPS si une utilisation en HTTP est détectée.

  Nous recommandons aux sites désirant faire fonctionner Mahara en HTTPS de s'assurer que la configuration de leur serveur web ne permet pas de servir le contenu par HTTP et redirige simplement vers la version sécurisée. Nous suggérons également aux administrateurs de site de prendre en considération l'ajout d'en-têtes HSTS à la configuration de leur serveur web.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 1.0.4-4+lenny10.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.2.6-2+squeeze2.

Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 1.3.6-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.3.6-1.

Nous vous recommandons de mettre à jour vos paquets mahara.