—–BEGIN PGP SIGNED MESSAGE—–
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Schwachstelle im TeX-Importer von Moodle
Aufgrund einer Schwachstelle im TeX-Importer von Moodle kann ein
Angreifer mittels manipulierter TeX-Befehle beliebige Shell-Kommandos
mit den Rechten der Anwendung ausfuehren. Die Schwachstelle ist nur
ausnutzbar wenn die PHP-Option ‘register_globals’ aktiviert, bzw.
‘magic_quotes_gpc’ deaktiviert ist.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket moodle
Fedora 9
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2008-December/msg01072.html
https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00955.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
16. DFN-Workshop Sicherheit in vernetzten Systemen
https://www.dfn-cert.de/ws2009/
– ——————————————————————————–
Fedora Update Notification
FEDORA-2008-11577
2008-12-21 00:44:27
– ——————————————————————————–
Name : moodle
Product : Fedora 9
Version : 1.9.3
Release : 4.fc9
URL : http://moodle.org/
Summary : A Course Management System
Description :
Moodle is a course management system (CMS) – a free, Open Source software
package designed using sound pedagogical principles, to help educators create
effective online learning communities.
– ——————————————————————————–
Update Information:
Fix for RCE vulnerability.
– ——————————————————————————–
ChangeLog:
* Wed Dec 17 2008 Jon Ciesla
– – Texed fix, BZ 476709.
* Fri Nov 7 2008 Jon Ciesla
– – Moved to weekly downloaded 11/7/08 to fix Snoopy CVE-2008-4796.
* Fri Oct 31 2008 Jon Ciesla
– – Fix for BZ 468929, overactive cron job.
* Wed Oct 22 2008 Jon Ciesla
– – Updated to 1.9.3.
– – Updated language packs to 22 Oct 2008 versions.
* Wed Aug 6 2008 Jon Ciesla
– – Remove bundled adodb, use system php-adodb. BZ 457886.
– – Remove bundled magpie, use system php-magpierss. BZ 457886.
* Wed Aug 6 2008 Jon Ciesla
– – Updated to 1.9.2.
– – Remove bundled Smarty, use system php-Smarty. BZ 457886.
– – Updated language packs to 06 Aug 2008 versions.
* Mon Jun 23 2008 Jon Ciesla
– – Add php Requires, BZ 452341.
* Thu May 22 2008 Jon Ciesla
– – Update to 1.9.1.
– – Updated language packs to 22 May 2008 versions.
– – Added Welsh, Uzbek support.
– – Added php-xmlrpc Requires.
– ——————————————————————————–
References:
[ 1 ] Bug #476709 – moodle: command injection via TeX filter (texed.php)
https://bugzilla.redhat.com/show_bug.cgi?id=476709
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update moodle’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iQEVAwUBSVjgukhXCWfrVVdXAQGHiwf/ZmDNTjoku7js7ymQlyytNwviCe2AlzQr
8+ZNUH+JFIztovnbTZtyhnTvLae/ge3udhZIjznzcbs9qq9EgbKQ+eELYFUVm/vP
QLCWH07xdmLaSh0gUHzo0701mobYY2ISWEkoVtkd6Oqu/C2pqx3DiPgtRslnAL5Q
kbdArr2m4/mZdcD9CKa+X4wID37mb0yQ5nlRlJ4LMIM+q6vx/seDKf+ToCoKajyD
dPzGM491EQ9J+6Q34iJDkVR2E1kXuRv1sNSHdL/RWsrmQlbeTtlQyfkGSImeYNgV
OnjCmfH7qvxKENELAAmYHlOPZmNZcZj8iz1lpfLOH9ym2/8z/pRGcw==
=aQvj
—–END PGP SIGNATURE—–
