检测

插件

最近更新时间

插件系列介绍

指标

风险暴露指标

Debian DSA-2421-1：moodle - 多个漏洞

medium Nessus 插件 ID 58172

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

修复了用于在线学习的课程管理系统 Moodle 中的多个安全问题：

- CVE-2011-4308 / CVE-2012-0792 Rossiani Wijaya 在 mod/forum/user.php 中发现了一个信息泄漏。

- CVE-2011-4584 MNet 认证未阻止使用“Login as”的用户转到远程 MNet SSO。

- CVE-2011-4585 Darragh Enright 发现即使 httpslogin 被设置为“true”也会通过明文 HTTP 发送更改密码表单。

- CVE-2011-4586 David Michael Evans 和 German Sanchez Gances 在 Calendar 模块中发现 CRLF 注入/HTTP 响应拆分漏洞。

- CVE-2011-4587 Stephen Mc Guiness 发现可在某些情况下输入空密码。

- CVE-2011-4588 Patrick McNeill 发现可在 MNet 中绕过 IP 地址限制。

- CVE-2012-0796 Simon Coggins 发现可将附加信息注入邮件标头。

- CVE-2012-0795 John Ehringer 发现电子邮件地址未得到充分验证。

- CVE-2012-0794 Rajesh Taneja 发现 cookie 加密使用固定的密钥。

- CVE-2012-0793 Eloy Lafuente 发现配置文件镜像未得到充分保护。为该情况引入了一个新的配置选项“forceloginforprofileimages”。

解决方案

升级 moodle 程序包。

对于稳定发行版本 (squeeze)，已在版本 1.9.9.dfsg2-2.1+squeeze3 中修复了此问题。

另见

https://security-tracker.debian.org/tracker/CVE-2011-4308

https://security-tracker.debian.org/tracker/CVE-2012-0792

https://security-tracker.debian.org/tracker/CVE-2011-4584

https://security-tracker.debian.org/tracker/CVE-2011-4585

https://security-tracker.debian.org/tracker/CVE-2011-4586

https://security-tracker.debian.org/tracker/CVE-2011-4587

https://security-tracker.debian.org/tracker/CVE-2011-4588

https://security-tracker.debian.org/tracker/CVE-2012-0796

https://security-tracker.debian.org/tracker/CVE-2012-0795

https://security-tracker.debian.org/tracker/CVE-2012-0794

https://security-tracker.debian.org/tracker/CVE-2012-0793

https://packages.debian.org/source/squeeze/moodle

https://www.debian.org/security/2012/dsa-2421

插件详情

严重性: Medium

ID: 58172

文件名: debian_DSA-2421.nasl

版本: 1.14

类型: local

代理: unix

系列: Debian Local Security Checks

发布时间: 2012/3/1

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:moodle, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2012/2/29

参考资料信息

CVE: CVE-2011-4308, CVE-2011-4584, CVE-2011-4585, CVE-2011-4586, CVE-2011-4587, CVE-2011-4588, CVE-2012-0792, CVE-2012-0793, CVE-2012-0794, CVE-2012-0795, CVE-2012-0796

BID: 50283, 50923, 51450, 51840

DSA: 2421