受影响系统:
Eduforge.org Mahara 1.2.x
Eduforge.org Mahara 1.1.x
Eduforge.org Mahara 1.0.x
不受影响系统:
Eduforge.org Mahara 1.2.4
Eduforge.org Mahara 1.1.8
Eduforge.org Mahara 1.0.14
描述:
Mahara是一个开源的电子文件夹、网络日志、履历表生成器和社会联网系统。
远程攻击者可以通过向Mahara的lib/user.php页面提交恶意用户名执行SQL注入攻击。
<*来源:François Marier
链接:http://secunia.com/advisories/39318/
http://mahara.org/interaction/forum/topic.php?id=1713
http://www.debian.org/security/2010/dsa-2030
*>
建议:
厂商补丁:
Debian
——
Debian已经为此发布了一个安全公告(DSA-2030-1)以及相应补丁:
DSA-2030-1:New mahara packages fix sql injection
链接:http://www.debian.org/security/2010/dsa-2030
补丁下载:
Source archives:
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny5.diff.gz
Size/MD5 checksum: 40648 cd057351de5462d5e1df2d75bf3f2247
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny5.dsc
Size/MD5 checksum: 1304 e87fa2a0e67a71eef479be5a5da65894
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4.orig.tar.gz
Size/MD5 checksum: 2383079 cf1158e4fe3cdba14fb1b71657bf8cc9
Architecture independent packages:
http://security.debian.org/pool/updates/main/m/mahara/mahara-apache2_1.0.4-4+lenny5_all.deb
Size/MD5 checksum: 8106 5b0910999a1bfdfbce8740219d9549dc
http://security.debian.org/pool/updates/main/m/mahara/mahara_1.0.4-4+lenny5_all.deb
Size/MD5 checksum: 1662742 289da5fba44237ff1c17a462cb6cd9f7
补丁安装方法:
1. 手工安装补丁包:
首先,使用下面的命令来下载补丁软件:
# wget url (url是补丁下载链接地址)
然后,使用下面的命令来安装补丁:
# dpkg -i file.deb (file是相应的补丁名)
2. 使用apt-get自动安装补丁包:
首先,使用下面的命令更新内部数据库:
# apt-get update
然后,使用下面的命令安装更新软件包:
# apt-get upgrade
Eduforge.org
————
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。