[Fedora] Mehrere Schwachstellen in Moodle bis inkl. Version 1.9.3 - FEDORA-2008-9508

-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Die Webanwendung moodle (Modular Object-Oriented Dynamic Learning
Environment) dient der Verwaltung von Online-Kursen.

CVE-2008-4796 - Schwachstelle in der Snoopy PHP-Bibliothek

  In Snoopy ist eine Schwachstelle enthalten, welche die Ausfuehrung von
  Shell-Kommandos ermoeglicht. Aufgrund eines Fehlers bei der
  Verarbeitung von URLs in der Funktion '_httpsrequest()' werden
  Shell-Metazeichen nicht erkannt, was dazu fuehrt dass ueber einen
  'exec()'-Aufruf lokal Programme mit den Rechten des Webservers
  ausgefuehrt werden koennen.

  Die Bibliothek wird in mehreren PHP-Projekten eingesetzt, welche
  ebenfalls von dieser Schwachstelle betroffen sind.

CVE-2008-0123 - Cross Site Scripting Schwachstelle in Moodle

  In Moodle vor der Version 1.8.4 existiert eine Cross Site Scripting
  Schwachstelle im Skript install.php. Ueber den Parameter 'dbname' kann
  ein entfernter Angreifer Script-Code einschmuggeln, der dann
  potentiell im Browser anderer Benutzer im Kontext der Anwendung
  ausgefuehrt wird. Ein solcher Angriff soll nur durchfuehrbar sein,
  solange die Installation noch nicht abgeschlossen ist.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket moodle

  Fedora 8
  Fedora 9

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00199.html
  https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00205.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
   Michael Groening, DFN-CERT
- --