[Fedora] Mehrere Schwachstellen in Moodle bis inkl. Version 1.9.3 - FEDORA-2008-9508

Aufmacher News

[Fedora] Mehrere Schwachstellen in Moodle bis inkl. Version 1.9.3 - FEDORA-2008-9508

DFN-Cert
10.11.2008

-----BEGIN PGP SIGNED MESSAGE-----

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Die Webanwendung moodle (Modular Object-Oriented Dynamic Learning
Environment) dient der Verwaltung von Online-Kursen.

CVE-2008-4796 - Schwachstelle in der Snoopy PHP-Bibliothek

  In Snoopy ist eine Schwachstelle enthalten, welche die Ausfuehrung von
  Shell-Kommandos ermoeglicht. Aufgrund eines Fehlers bei der
  Verarbeitung von URLs in der Funktion '_httpsrequest()' werden
  Shell-Metazeichen nicht erkannt, was dazu fuehrt dass ueber einen
  'exec()'-Aufruf lokal Programme mit den Rechten des Webservers
  ausgefuehrt werden koennen.

  Die Bibliothek wird in mehreren PHP-Projekten eingesetzt, welche
  ebenfalls von dieser Schwachstelle betroffen sind.

CVE-2008-0123 - Cross Site Scripting Schwachstelle in Moodle

  In Moodle vor der Version 1.8.4 existiert eine Cross Site Scripting
  Schwachstelle im Skript install.php. Ueber den Parameter 'dbname' kann
  ein entfernter Angreifer Script-Code einschmuggeln, der dann
  potentiell im Browser anderer Benutzer im Kontext der Anwendung
  ausgefuehrt wird. Ein solcher Angriff soll nur durchfuehrbar sein,
  solange die Installation noch nicht abgeschlossen ist.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket moodle

  Fedora 8
  Fedora 9

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00199.html
  https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00205.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
   Michael Groening, DFN-CERT
- -- 

Kommentare

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.