blob: 4caba3b66c1595ed3f7b7c39adbaf32e4ee49ff2 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
|
#use wml::debian::translation-check translation="0566d9016413a572d83570c0605ce60d3cc9215d"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>
電子ポートフォリオ、ウェブログ、履歴書作成ツール mahara に複数の欠陥
が発見されました。The Common Vulnerabilities and Exposures project は以下の問
題を認識しています。
</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1402">CVE-2011-1402</a>
<p>
以前の版の Mahara では、ユーザ情報の閲覧とサスペンドの際に秘密の URL
を追加するに当たって、ユーザのクレデンシャルをチェックしていないこと
が発見されました。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1403">CVE-2011-1403</a>
<p>
Mahara の Pieform パッケージの設定ミスにより、フォーム処理のセキュリ
ティ強化のため Mahara の依存していたクロスサイトリクエストフォージェ
リ攻撃に対する防護機能が機能せず、事実上無効になっていました。
これは致命的な欠陥で、攻撃者型のユーザ (例えば管理者) を騙して攻撃者
の望む不正な操作を行わせることが可能です。ほとんどの Mahara のフォー
ムはこの欠陥の影響を受けます。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1404">CVE-2011-1404</a>
<p>
AJAX との間のやりとりに Mahara で用いている JSON 構造体の多くに対して、
ログイン中のユーザに開示可能な範囲を超えた情報が含まれていました。
Mahara の新版では、各ページで必要な情報に制限するようになっています。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1405">CVE-2011-1405</a>
<p>
以前の版の Mahara では、ユーザに送付される HTML 電子メールの内容を適
切にエスケープしていません。受け手側のメールリーダの設定に寄りますが、
クロスサイトスクリプティング攻撃が行える可能性があります。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1406">CVE-2011-1406</a>
<p>
Mahara が (wwwroot 変数により) HTTPS を使うように設定されていた場合に
も、ウェブサーバが HTTP と HTTPS の両方のプロトコルを処理可能であった
場合には HTTP 版のサイトでユーザのログインを許していました。新版の
Mahara では wwwroot が HTTPS URL を指していた場合、HTTP で実行されて
いることを検出した場合 HTTPS サイトの方にリダイレクトするようになって
います。
</p>
<p>
Mahara を HTTPS 経由で使用したいと考えているサイトは、ウェブサーバが
HTTP を使ったコンテンツ提供を許さない設定になっており、HTTPS に単にリ
ダイレクトするようになっているかを確認してください。また、サイトの管
理者としては、ウェブサーバ設定で
<a href="https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security">HSTS</a>
ヘッダを利用することも検討してください。
</p></li>
</ul>
<p>
旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題
はバージョン 1.0.4-4+lenny10 で修正されています。
</p>
<p>
安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ
ージョン 1.2.6-2+squeeze2 で修正されています。
</p>
<p>
テスト版ディストリビューション (wheezy) では、これらの問題はバージョン
1.3.6-1 で修正されています。
</p>
<p>
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ
ージョン 1.3.6-1 で修正されています。
</p>
<p>
直ぐに mahara パッケージをアップグレードすることを勧めます。
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2246.data"
# $Id$
|
