Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/01/2015
Múltiples vulnerabilidades detectadas en Moodle
Moodle ha publicado ocho boletines de seguridad que corrigen vulnerabilidades detectadas en todas las versiones de su aplicación.El pasado 19 de enero Moodle, una de las plataformas de gestión educativa de código abierto de uso más extendido, publicó ocho boletines de seguridad que corrigen otras tantas vulnerabilidades encontradas en su aplicación.
Cuatro de estos boletines están calificados como graves, y otros cuatro como menores, y, excepto uno de ellos, afectan a todas las versiones de la aplicación, incluyendo versiones anteriores de la aplicación que ya no están soportadas, por lo que urge todavía más la actualización de las instalaciones con versiones anteriores.
Las vulnerabilidades corrigen fallos de: XSS con posible escalada de privilegios, CSRF, Denegación de servicio en el motor de expresiones regulares disponible en el filtro multimedia, Forzar cierre de sesión del usuario, y revelación de información sensible (entre otros sobre culaquier usuario y evento del calendario, aún sin tener permisos concedidos para visualizarlos).
Sistemas Afectados:Moodle, ramas soportadas (2.8.x, 2.7.x y 2.6.x) y versiones anteriores no soportadas.
Referencias:CVE-2015-0211, CVE-2015-0212, CVE-2015-0213, CVE-2015-0214, CVE-2015-0215, CVE-2015-0216, CVE-2015-0217, CVE-2015-0218
Solución:Moodle ha publicado las versiones 2.8.2, 2.7.4 y 2.6.7, que solucionan las vulnerabilidades publicadas.
Estas versiones se pueden descargar desde la página oficial de descargas de Moodle.
Notas:Hispasec una-al-dia
MSA-15-0001: Insufficient access check in LTI module
MSA-15-0002: XSS vulnerability in course request pending approval page
MSA-15-0003: CSRF possible in Glossary module
MSA-15-0004: Information leak through messaging functions in web-services
MSA-15-0005: Insufficient access check in calendar functions in web-services
MSA-15-0006: Capability to grade Lesson module is missing XSS bitmask
MSA-15-0007: ReDoS possible in the multimedia filter
MSA-15-0008: Forced logout through Shibboleth authentication plugin