1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
|
<define-tag description>flere sårbarheder</define-tag>
<define-tag moreinfo>
<p>Flere fjernudnytbare sårbarheder er opdaget i Moodle, et
kursusadministreringssystem. Projektet Common Vulnerabilities and Exposures har
registreret følgende problemer:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1613">CVE-2010-1613</a>
<p>Moodle har ikke som standard aktiveret indstillingen <q>Regenerate
session id during login</q>, hvilket gør det lettere for fjernangribere at
udføre session fixation-angreb.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1614">CVE-2010-1614</a>
<p>Flere sårbarheder i forbindelse med udførelse af skripter på tværs af
websteder (XSS) gjorde det muligt for fjernangribere at indsprøjte
vilkårligt webskript eller HTML via angrebsvinkler relateret til (1)
Login-As-funktionaliteten, eller (2), når den globale søgefunktion var
aktiveret, uspecificerede globale søgeformularer i Global Search
Engine.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1615">CVE-2010-1615</a>
<p>Flere sårbarheder i forbindelse med indsprøjtning af SQL, gjorde det
muligt for fjernangribere at udføre vilkårlig SQL-kommandoer via
angrebsvinkler relateret til (1) funktionen add_to_log i
mod/wiki/view.php i wiki-modulet, or (2) datavalidering i nogle
formularelementer relateret til lib/form/selectgroups.php.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1616">CVE-2010-1616</a>
<p>Moodle kunne oprette nye roller når et kursus blev gendannet, hvilket
gjorde det muligt for undervisere at oprette nye konti, selv hvis de
ikke havde rettigheden moodle/user:create.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1617">CVE-2010-1617</a>
<p>user/view.php kontrollerer ikke på korrekt vis en rolle, hvilket
gjorde det muligt for fjernautentificerede brugere at få adgang til de
fulde navne på andre brugere via kursusprofilsiden.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1618">CVE-2010-1618</a>
<p>En sårbarhed i forbindelse med udførelse af skripter på tværs af
websteder (XSS) i phpCAS-klientbiblioteket, gjorde det muligt for
fjernangribere at indsprøjte vilkårligt webskript eller HTML via en
fabrikeret URL, hvilket ikke på korrekt vis blev håndteret i en
fejlmeddelelse.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-1619">CVE-2010-1619</a>
<p>En sårbarhed i forbindelse med udførelse af skripter på tværs af
websteder (XSS) i funktionen fix_non_standard_entities i KSES, et
bibliotek til HTML-tekst-oprydning (weblib.php), gjorde det muligt for
fjernangribere at indsprøjte vilkårligt webskript eller HTML via
fabrikerede HTML-entiteter.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-2228">CVE-2010-2228</a>
<p>En sårbarhed i forbindelse med udførelse af skripter på tværs af
websteder (XSS) i MNET, adgangskontrolinterfacet, gjorde det muligt
for fjernangribere at indsprøjte vilkårligt webskript eller HTML via
angrebsvinkler, som omfatter udvidede tegn i brugernavne.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-2229">CVE-2010-2229</a>
<p>Flere sårbarheder i forbindelse med udførelse af skripter på tværs af
websteder (XSS) i blog/index.php, gjorde det muligt for fjernangribere
at indsprøjte vilkårligt webskript eller HTML via uspecificerede
parametre.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-2230">CVE-2010-2230</a>
<p>KSES, tekstoprydningsfilteret i lib/weblib.php, håndterede ikke på
korrekt vis vbscript-URI'er, hvilket gjorde det muligt for
fjernautentificerede brugere at udføre skripter på tværs af websteder
(XSS) via HTML-inddata.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2010-2231">CVE-2010-2231</a>
<p>En sårbarhed i forbindelse med forfalskning af forespørgsler på
tværs af websteder (CSRF) i report/overview/report.php i quiz-modulet,
gjorde det muligt for fjernangribere at kapre autentificeringen af
vilkårlige brugere, til forespørgsler som sletter quiz-forsøg via
parameteret attemptid.</p></li>
</ul>
<p>Denne sikkerhedsopdatering skifter til en ny opstrømsversion og kræver
databaseopdateringer. Efter installering af den rettede pakke, skal du besøge
siden <http://localhost/moodle/admin/> og følge
opdateringsvejledningen.</p>
<p>I den stabile distribution (lenny), er disse problemer rettet i
version 1.8.13-1.</p>
<p>I den ustabile distribution (sid), er disse problemer rettet i
version 1.9.9.dfsg2-1.</p>
<p>Vi anbefaler at du opgraderer din moodle-pakke.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2115.data"
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
|
