セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2246-1 mahara

Debian セキュリティ勧告

DSA-2246-1 mahara -- 複数の脆弱性

報告日時:

2011-05-29

影響を受けるパッケージ:

mahara

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-1402, CVE-2011-1403, CVE-2011-1404, CVE-2011-1405, CVE-2011-1406.

詳細:

電子ポートフォリオ、ウェブログ、履歴書作成ツール mahara に複数の欠陥 が発見されました。The Common Vulnerabilities and Exposures project は以下の問 題を認識しています。

• CVE-2011-1402

  以前の版の Mahara では、ユーザ情報の閲覧とサスペンドの際に秘密の URL を追加するに当たって、ユーザのクレデンシャルをチェックしていないこと が発見されました。

• CVE-2011-1403

  Mahara の Pieform パッケージの設定ミスにより、フォーム処理のセキュリ ティ強化のため Mahara の依存していたクロスサイトリクエストフォージェ リ攻撃に対する防護機能が機能せず、事実上無効になっていました。 これは致命的な欠陥で、攻撃者型のユーザ (例えば管理者) を騙して攻撃者 の望む不正な操作を行わせることが可能です。ほとんどの Mahara のフォー ムはこの欠陥の影響を受けます。

• CVE-2011-1404

  AJAX との間のやりとりに Mahara で用いている JSON 構造体の多くに対して、 ログイン中のユーザに開示可能な範囲を超えた情報が含まれていました。 Mahara の新版では、各ページで必要な情報に制限するようになっています。

• CVE-2011-1405

  以前の版の Mahara では、ユーザに送付される HTML 電子メールの内容を適 切にエスケープしていません。受け手側のメールリーダの設定に寄りますが、 クロスサイトスクリプティング攻撃が行える可能性があります。

• CVE-2011-1406

  Mahara が (wwwroot 変数により) HTTPS を使うように設定されていた場合に も、ウェブサーバが HTTP と HTTPS の両方のプロトコルを処理可能であった 場合には HTTP 版のサイトでユーザのログインを許していました。新版の Mahara では wwwroot が HTTPS URL を指していた場合、HTTP で実行されて いることを検出した場合 HTTPS サイトの方にリダイレクトするようになって います。

  Mahara を HTTPS 経由で使用したいと考えているサイトは、ウェブサーバが HTTP を使ったコンテンツ提供を許さない設定になっており、HTTPS に単にリ ダイレクトするようになっているかを確認してください。また、サイトの管 理者としては、ウェブサーバ設定で HSTS ヘッダを利用することも検討してください。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題 はバージョン 1.0.4-4+lenny10 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ ージョン 1.2.6-2+squeeze2 で修正されています。

テスト版ディストリビューション (wheezy) では、これらの問題はバージョン 1.3.6-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ ージョン 1.3.6-1 で修正されています。

直ぐに mahara パッケージをアップグレードすることを勧めます。