-----BEGIN PGP SIGNED MESSAGE----- Liebe Kolleginnen und Kollegen, soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben diese Informationen unveraendert an Sie weiter. Die Webanwendung moodle (Modular Object-Oriented Dynamic Learning Environment) dient der Verwaltung von Online-Kursen. CVE-2008-4796 - Schwachstelle in der Snoopy PHP-Bibliothek In Snoopy ist eine Schwachstelle enthalten, welche die Ausfuehrung von Shell-Kommandos ermoeglicht. Aufgrund eines Fehlers bei der Verarbeitung von URLs in der Funktion '_httpsrequest()' werden Shell-Metazeichen nicht erkannt, was dazu fuehrt dass ueber einen 'exec()'-Aufruf lokal Programme mit den Rechten des Webservers ausgefuehrt werden koennen. Die Bibliothek wird in mehreren PHP-Projekten eingesetzt, welche ebenfalls von dieser Schwachstelle betroffen sind. CVE-2008-0123 - Cross Site Scripting Schwachstelle in Moodle In Moodle vor der Version 1.8.4 existiert eine Cross Site Scripting Schwachstelle im Skript install.php. Ueber den Parameter 'dbname' kann ein entfernter Angreifer Script-Code einschmuggeln, der dann potentiell im Browser anderer Benutzer im Kontext der Anwendung ausgefuehrt wird. Ein solcher Angriff soll nur durchfuehrbar sein, solange die Installation noch nicht abgeschlossen ist. Betroffen sind die folgenden Software Pakete und Plattformen: Paket moodle Fedora 8 Fedora 9 Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt. Hersteller Advisory: https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00199.html https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00205.html (c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken gestattet. Mit freundlichen Gruessen, Michael Groening, DFN-CERT - --
Ähnliche Artikel
Die neue Version der schlanken und flexiblen Firewall stopft die vor einigen Tagen entdeckten kritischen Sicherheitslücken im Kernel. Das Update von OpenVPN auf die Version 2.7 steigert zudem massiv den Durchsatz über VPN-Tunnel.
Fünf fabelhafte Fakten der Woche, die es irgendwie nicht zu einer Meldung auf Linux-Magazin Online geschafft haben – und warum eigentlich nicht. Oder mit den Worten einer namhaften KI: „Die Linux-Woche in Bits und Panik.“
Die Louis Armstrong gewidmete Version des Content-Management-Systems kommuniziert auf Wunsch mit generativer KI, zeigt ein leicht aufpoliertes Backend, erlaubt einen schnellen Blick in die Vergangenheit und kann die Schriftbibliothek in allen Themes nutzen.
Das Proxmox Virtual Environment bietet einen neuen Cluster Resource Scheduler (CRS) für das Load Balancing, verbessert das Software Defined Networking (SDN), verwaltet benutzerdefinierte CPUs über die Weboberfläche und erlaubt ein „disarm“ des HA-Managers.
Das Live-System Tails erlaubt das anonyme Surfen im Internet über das Tor-Netzwerk. Die neue Version 7.8 schmeißt Thunderbird von Bord – wer den E-Mail-Client benötigt, muss ihn ab sofort manuell nachinstallieren. Diese Maßnahme hat allerdings einen triftigen Grund.
