[Fedora] Mehrere Schwachstellen in Moodle bis inkl. Version 1.9.3 – FEDORA-2008-9508

[Fedora] Mehrere Schwachstellen in Moodle bis inkl. Version 1.9.3 - FEDORA-2008-9508

Von

—–BEGIN PGP SIGNED MESSAGE—–

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Die Webanwendung moodle (Modular Object-Oriented Dynamic Learning
Environment) dient der Verwaltung von Online-Kursen.

CVE-2008-4796 – Schwachstelle in der Snoopy PHP-Bibliothek

In Snoopy ist eine Schwachstelle enthalten, welche die Ausfuehrung von
Shell-Kommandos ermoeglicht. Aufgrund eines Fehlers bei der
Verarbeitung von URLs in der Funktion ‘_httpsrequest()’ werden
Shell-Metazeichen nicht erkannt, was dazu fuehrt dass ueber einen
‘exec()’-Aufruf lokal Programme mit den Rechten des Webservers
ausgefuehrt werden koennen.

Die Bibliothek wird in mehreren PHP-Projekten eingesetzt, welche
ebenfalls von dieser Schwachstelle betroffen sind.

CVE-2008-0123 – Cross Site Scripting Schwachstelle in Moodle

In Moodle vor der Version 1.8.4 existiert eine Cross Site Scripting
Schwachstelle im Skript install.php. Ueber den Parameter ‘dbname’ kann
ein entfernter Angreifer Script-Code einschmuggeln, der dann
potentiell im Browser anderer Benutzer im Kontext der Anwendung
ausgefuehrt wird. Ein solcher Angriff soll nur durchfuehrbar sein,
solange die Installation noch nicht abgeschlossen ist.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket moodle

Fedora 8
Fedora 9

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00199.html
https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00205.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team), +49 40 808077-555

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2008-9508
2008-11-08 01:20:30
– ——————————————————————————–

Name : moodle
Product : Fedora 9
Version : 1.9.3
Release : 3.fc9
URL : http://moodle.org/
Summary : A Course Management System
Description :
Moodle is a course management system (CMS) – a free, Open Source software
package designed using sound pedagogical principles, to help educators create
effective online learning communities.

– ——————————————————————————–
Update Information:

Fix for cron job, also fix for CVE-2008-4796. Upgrade to new upstream, fix cron
bug.
– ——————————————————————————–
ChangeLog:

* Fri Nov 7 2008 Jon Ciesla – 1.9.3-3
– – Moved to weekly downloaded 11/7/08 to fix Snoopy CVE-2008-4796.
* Fri Oct 31 2008 Jon Ciesla – 1.9.3-2
– – Fix for BZ 468929, overactive cron job.
* Wed Oct 22 2008 Jon Ciesla – 1.9.3-1
– – Updated to 1.9.3.
– – Updated language packs to 22 Oct 2008 versions.
* Wed Aug 6 2008 Jon Ciesla – 1.9.2-2
– – Remove bundled adodb, use system php-adodb. BZ 457886.
– – Remove bundled magpie, use system php-magpierss. BZ 457886.
* Wed Aug 6 2008 Jon Ciesla – 1.9.2-1
– – Updated to 1.9.2.
– – Remove bundled Smarty, use system php-Smarty. BZ 457886.
– – Updated language packs to 06 Aug 2008 versions.
* Mon Jun 23 2008 Jon Ciesla – 1.9.1-2
– – Add php Requires, BZ 452341.
* Thu May 22 2008 Jon Ciesla – 1.9.1-1
– – Update to 1.9.1.
– – Updated language packs to 22 May 2008 versions.
– – Added Welsh, Uzbek support.
– – Added php-xmlrpc Requires.
– ——————————————————————————–
References:

[ 1 ] Bug #469320 – CVE-2008-4796 snoopy: command execution via shell metacharacters
https://bugzilla.redhat.com/show_bug.cgi?id=469320
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update moodle’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUBSRgFBkhXCWfrVVdXAQHcFAf/adF1fhcdg0GOJZTLJvnJsGAvXfwQH8Q6
mM+YAn1HpNuyst192YrGYx3tnQJuLXt0Nban4RIA/WdRKTkAOdT4v3K7rgmCIHAY
UNQx6zQLjRbs6hGOwwcaUA4hArZUHVSdglKZ4pMBKr+XaXyWwly3K5M6xqDXJORI
gqwrwe9OKlZY3VIqhP6caFruINj8xV88J7kwbdWVwVfPg3FNwFl9ZwCbqSJshWIt
KEKpVLqakuqr05K09FiHdFgJxbr8pGhTny9P/O6xRT2V6/4tJFSMWSA2ydvDHAgp
4OPDDfgezanUp6Jfmfeu4mawkLl/uFaD7RDIsyqwu/OA32ozftx1Kg==
=6i9Q
—–END PGP SIGNATURE—–

[Fedora] Mehrere Schwachstellen in Moodle bis inkl. Version 1.9.3 - FEDORA-2008-9508

Von

—–BEGIN PGP SIGNED MESSAGE—–

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Die Webanwendung moodle (Modular Object-Oriented Dynamic Learning
Environment) dient der Verwaltung von Online-Kursen.

CVE-2008-4796 – Schwachstelle in der Snoopy PHP-Bibliothek

In Snoopy ist eine Schwachstelle enthalten, welche die Ausfuehrung von
Shell-Kommandos ermoeglicht. Aufgrund eines Fehlers bei der
Verarbeitung von URLs in der Funktion ‘_httpsrequest()’ werden
Shell-Metazeichen nicht erkannt, was dazu fuehrt dass ueber einen
‘exec()’-Aufruf lokal Programme mit den Rechten des Webservers
ausgefuehrt werden koennen.

Die Bibliothek wird in mehreren PHP-Projekten eingesetzt, welche
ebenfalls von dieser Schwachstelle betroffen sind.

CVE-2008-0123 – Cross Site Scripting Schwachstelle in Moodle

In Moodle vor der Version 1.8.4 existiert eine Cross Site Scripting
Schwachstelle im Skript install.php. Ueber den Parameter ‘dbname’ kann
ein entfernter Angreifer Script-Code einschmuggeln, der dann
potentiell im Browser anderer Benutzer im Kontext der Anwendung
ausgefuehrt wird. Ein solcher Angriff soll nur durchfuehrbar sein,
solange die Installation noch nicht abgeschlossen ist.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket moodle

Fedora 8
Fedora 9

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00199.html
https://www.redhat.com/archives/fedora-package-announce/2008-November/msg00205.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team), +49 40 808077-555

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2008-9508
2008-11-08 01:20:30
– ——————————————————————————–

Name : moodle
Product : Fedora 9
Version : 1.9.3
Release : 3.fc9
URL : http://moodle.org/
Summary : A Course Management System
Description :
Moodle is a course management system (CMS) – a free, Open Source software
package designed using sound pedagogical principles, to help educators create
effective online learning communities.

– ——————————————————————————–
Update Information:

Fix for cron job, also fix for CVE-2008-4796. Upgrade to new upstream, fix cron
bug.
– ——————————————————————————–
ChangeLog:

* Fri Nov 7 2008 Jon Ciesla – 1.9.3-3
– – Moved to weekly downloaded 11/7/08 to fix Snoopy CVE-2008-4796.
* Fri Oct 31 2008 Jon Ciesla – 1.9.3-2
– – Fix for BZ 468929, overactive cron job.
* Wed Oct 22 2008 Jon Ciesla – 1.9.3-1
– – Updated to 1.9.3.
– – Updated language packs to 22 Oct 2008 versions.
* Wed Aug 6 2008 Jon Ciesla – 1.9.2-2
– – Remove bundled adodb, use system php-adodb. BZ 457886.
– – Remove bundled magpie, use system php-magpierss. BZ 457886.
* Wed Aug 6 2008 Jon Ciesla – 1.9.2-1
– – Updated to 1.9.2.
– – Remove bundled Smarty, use system php-Smarty. BZ 457886.
– – Updated language packs to 06 Aug 2008 versions.
* Mon Jun 23 2008 Jon Ciesla – 1.9.1-2
– – Add php Requires, BZ 452341.
* Thu May 22 2008 Jon Ciesla – 1.9.1-1
– – Update to 1.9.1.
– – Updated language packs to 22 May 2008 versions.
– – Added Welsh, Uzbek support.
– – Added php-xmlrpc Requires.
– ——————————————————————————–
References:

[ 1 ] Bug #469320 – CVE-2008-4796 snoopy: command execution via shell metacharacters
https://bugzilla.redhat.com/show_bug.cgi?id=469320
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update moodle’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUBSRgFBkhXCWfrVVdXAQHcFAf/adF1fhcdg0GOJZTLJvnJsGAvXfwQH8Q6
mM+YAn1HpNuyst192YrGYx3tnQJuLXt0Nban4RIA/WdRKTkAOdT4v3K7rgmCIHAY
UNQx6zQLjRbs6hGOwwcaUA4hArZUHVSdglKZ4pMBKr+XaXyWwly3K5M6xqDXJORI
gqwrwe9OKlZY3VIqhP6caFruINj8xV88J7kwbdWVwVfPg3FNwFl9ZwCbqSJshWIt
KEKpVLqakuqr05K09FiHdFgJxbr8pGhTny9P/O6xRT2V6/4tJFSMWSA2ydvDHAgp
4OPDDfgezanUp6Jfmfeu4mawkLl/uFaD7RDIsyqwu/OA32ozftx1Kg==
=6i9Q
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben