[Fedora] Mehrere Schwachstellen in Moodle bis inkl. Version 1.9.3 - FEDORA-2008-9508

Aufmacher News

[Fedora] Mehrere Schwachstellen in Moodle bis inkl. Version 1.9.3 - FEDORA-2008-9508

DFN-Cert
10.11.2008

-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Die Webanwendung moodle (Modular Object-Oriented Dynamic Learning
Environment) dient der Verwaltung von Online-Kursen.

CVE-2008-4796 - Schwachstelle in der Snoopy PHP-Bibliothek

  In Snoopy ist eine Schwachstelle enthalten, welche die Ausfuehrung von
  Shell-Kommandos ermoeglicht. Aufgrund eines Fehlers bei der
  Verarbeitung von URLs in der Funktion '_httpsrequest()' werden
  Shell-Metazeichen nicht erkannt, was dazu fuehrt dass ueber einen
  'exec()'-Aufruf lokal Programme mit den Rechten des Webservers
  ausgefuehrt werden koennen.

  Die Bibliothek wird in mehreren PHP-Projekten eingesetzt, welche
  ebenfalls von dieser Schwachstelle betroffen sind.

CVE-2008-0123 - Cross Site Scripting Schwachstelle in Moodle

  In Moodle vor der Version 1.8.4 existiert eine Cross Site Scripting
  Schwachstelle im Skript install.php. Ueber den Parameter 'dbname' kann
  ein entfernter Angreifer Script-Code einschmuggeln, der dann
  potentiell im Browser anderer Benutzer im Kontext der Anwendung
  ausgefuehrt wird. Ein solcher Angriff soll nur durchfuehrbar sein,
  solange die Installation noch nicht abgeschlossen ist.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket moodle

  Fedora 8
  Fedora 9

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00199.html
  https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00205.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
   Michael Groening, DFN-CERT
- -- 

Ähnliche Artikel

Kommentare

Aktuelle Fragen

MS LifeCam HD-5000 an Debian
Kay Michael, 13.04.2016 22:55, 0 Antworten
Hallo, ich versuche die oben erwähnte Cam an einem Thin Client mit Debian zu betreiben. Linux...
Import von Evolution nach KMail erzeugt nur leere Ordner
Klaus-Christian Falkner, 06.04.2016 12:57, 2 Antworten
Hallo, da ich vor einiger Zeit von Ubuntu auf Kubuntu umgestiegen bin, würde ich gerne meine E...
Sophos lässt sich nicht unter Lubuntu installieren
Chrstina Turm, 30.03.2016 20:56, 3 Antworten
Hi Leute, habe mir vor paar Tagen auf ein Notebook, das ohne Linux ausgedient hätte, Linux dr...
Novell Client auf Raspbian
Chris Baum, 16.03.2016 15:13, 3 Antworten
Hallo Community, ich hätte eine Frage, und zwar geht es um folgendes: Ich möchte eine Datei...
Pantheon konfigurieren (eOS)
John Smith, 16.03.2016 13:50, 0 Antworten
Hallo ins Forum, ich bin neu in der Linuxwelt und fühle mich bereits sehr wohl. Mein neues Sys...