U radu programskog paketa moodle, distribuiranog s operacijskim sustavom Fedora 16, uočeno je nekoliko sigurnosnih propusta. Udaljeni ih napadač može iskoristiti za zaobilaženje ograničenja, povećanje ovlasti u sustavu, izmjenu podataka te otkrivanje osjetljivih informacija.
Sigurnosni nedostaci se javljaju zbog nepravilnog rukovanja ovlastima prilikom pristupa bazi podataka, neodgovarajućeg rukovanja memorijom kod upisa podataka, slabe zaštite osobnih podataka, itd. Za detaljan uvid u sve nedostatke preporuča se pregled originalne preporuke.
Posljedica:
Udaljeni napadač spomenute propuste može iskoristiti za dobivanje većih privilegija, zaobilaženje ograničenja te otkrivanje i izmjenu podataka.
Rješenje:
Rješenje problema sigurnosti je nadogradnja paketa na novije inačice.
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2012-7597
2012-05-10 03:46:15
--------------------------------------------------------------------------------
Name : moodle
Product : Fedora 16
Version : 2.0.8
Release : 2.fc16
URL : http://moodle.org/
Summary : A Course Management System
Description :
Moodle is a course management system (CMS) - a free, Open Source software
package designed using sound pedagogical principles, to help educators create
effective online learning communities.
--------------------------------------------------------------------------------
Update Information:
Drop bundled language packs.
New upstreams, multiple vulnerabilities.
--------------------------------------------------------------------------------
ChangeLog:
* Wed May 9 2012 Jon Ciesla <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 2.0.8-2
- Dropped bundled language packs, BZ 748958.
* Mon Apr 2 2012 Jon Ciesla <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 2.0.8-1
- New upstream, BZ 809226.
* Tue Jan 24 2012 Jon Ciesla <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 2.0.7-1
- New upstream, BZ 783534.
* Fri Dec 9 2011 Jon Ciesla <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 2.0.6-1
- New upstream, BZ 761249.
* Fri Oct 21 2011 Jon Ciesla <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 2.0.5-1
- New upstream, BZ 747445.
--------------------------------------------------------------------------------
References:
[ 1 ] Bug #748958 - moodle package carries language packs which ae never used
https://bugzilla.redhat.com/show_bug.cgi?id=748958
[ 2 ] Bug #809227 - CVE-2012-1155 CVE-2012-1156 CVE-2012-1157 CVE-2012-1158
CVE-2012-1159 CVE-2012-1160 CVE-2012-1161 CVE-2012-1168 CVE-2012-1169
CVE-2012-1170 moodle: multiple security fixes in 2.2.2, 2.1.5, 2.0.8, 1.9.17
[epel-all]
https://bugzilla.redhat.com/show_bug.cgi?id=809227
--------------------------------------------------------------------------------
This update can be installed with the "yum" update program. Use
su -c 'yum update moodle' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------
_______________________________________________
package-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
https://admin.fedoraproject.org/mailman/listinfo/package-announce
Posljednje sigurnosne preporuke