Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2246-1 mahara

Säkerhetsbulletin från Debian

DSA-2246-1 mahara -- flera sårbarheter

Rapporterat den:

2011-05-29

Berörda paket:

mahara

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-1402, CVE-2011-1403, CVE-2011-1404, CVE-2011-1405, CVE-2011-1406.

Ytterligare information:

Flera sårbarheter har upptäckts i Mahara, en elektronisk portfolio, weblog, och resumébyggare. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2011-1402

  Man har upptäckt att tidigare versioner av Mahara inte kontrollerar användaruppgifter innan den lägger till en hemlig URL till en vy eller innan den suspenderar en användare.

• CVE-2011-1403

  På grund av en felkonfiguration i paketet Pieform i Mahara, fungerade inte skyddsmekanismen mot sajtöverskridande förfrågeförfalskning som Mahara beror på för att härda dess formulär, och var i huvudsak inaktiverat. Detta är en kritisk sårbarhet som kunde tillåta angripare att lura andra användare (exempelvis administratörer) till att utföra illasinnade handlingar på attackerarens vägnar. De flesta Mahara-formulären är sårbara.

• CVE-2011-1404

  Flera av JSON-strukturerna som returneras av Mahara för deras AJAX-interaktioner inkluderade mer information än vad som bör avslöjas till den inloggade användaren. Nyare versioner av Mahara begränsar denna information till vad som är nödvändigt för varje sida.

• CVE-2011-1405

  Tidigare versioner av Mahara konverterade inte innehållet i HTML-epost som skickades till användare. Beroende på filtren som aktiverats i ens e-postläsare kunde detta leda till sajtöverskridande skriptangrepp.

• CVE-2011-1406

  Det har påpekats för oss att om Mahara konfigureras (genom dess wwwroot-variabel) till att använda HTTPS, kommer den gladeligen att tillåta användare att logga in via HTTP-versionen om webbservern är inställd för att tillhandahålla innehåll via båda protokoll. Den nya versionen av Mahara kommer att automatiskt att omdirigera till HTTPS när wwwroot pekar på en HTTPS-url, om den detekterar att den kör över HTTP.

  Vi rekommenderar att sajter som vill köra Mahara över HTTP säkerställer att deras webbserverkonfiguration inte tillåter tillhandahållande av innehåll över HTTP och endast omdirigerar till den säkra versionen. Vi föreslår även att sajtadministratörerna lägger till HSTS headers till deras webbserverkonfiguration.

För den gamla stabila utgåvan (Lenny) har dessa problem rättats i version 1.0.4-4+lenny10.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 1.2.6-2+squeeze2.

För uttestningsutgåvan (Wheezy) har dessa problem rättats i version 1.3.6-1.

För den instabila distributionen (Sid) har dessa problem rättats i version 1.3.6-1.

Vi rekommenderar att ni uppgraderar era mahara-paket.