Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/11/2013
Múltiples vulnerabilidades en Moodle
Moodle, tras un conveniente retraso en la publicación por cuestiones de seguridad, ha publicado cinco nuevos boletines en los que se corrigen sendas vulnerabilidades, desde los habituales XSS hasta salto de restricciones, viéndose afectadas todas las ramas soportadas (2.5, 2.4 y 2.3) y anteriores, ya fuera de mantenimiento de seguridad.Riesgo: Alto
Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos. A grandes rasgos, especificamos la serie de boletines publicados y sus vulnerabilidades:
- MSA-13-0036, marcada con un impacto 'leve', solucionaría la posible revelación de información sensible, debido a la incorrecta configuración de las directivas de caché utilizadas en los cabeceras para gestionar recursos seguros (CVE-2013-4522), en concreto la falta del header 'Cache-Control: private', posibilitando que sean cacheados en la caché compartida.
- MSA-13-0040, MSA-13-0039 y MSA-13-0037, marcadas con un impacto 'severo' y que corrigen diferentes 'cross-site scripting' en el módulo Quiz (CVE-2013-4525) a través de la página "Quiz Results" y en el módulo Messages (CVE-2013-4523), además de un tercero en la librería YUI2 (CVE-2013-6780) debido a los ficheros SWF distribuidos en el directorio 'lib/yui' que se veían afectados.
- Y finalmente el boletín MSA-13-0036, marcado también con un impacto 'severo' debido a un salto de restricciones a través del repositorio de archivo (File System Repository), que permitiría el acceso a ficheros fuera del mismo.
Todas las ramas soportadas (2.5, 2.4 y 2.3) y anteriores.
Referencias:CVE-2013-4522, CVE-2013-4525, CVE-2013-4523, CVE-2013-6780
Solución:Los errores han sido corregidos en las ramas afectadas mediante las nuevas versiones disponibles 2.6, 2.5.3, 2.4.7 y 2.3.10 y pueden ser descargadas desde su página oficial:
Notas:
Más información
Moodle security notifications public
MSA-13-0040: Cross site scripting vulnerability in YUI library
MSA-13-0039: Cross site scripting in Quiz
MSA-13-0038: Access to server files through repository
MSA-13-0037: Cross site scripting in Messages
MSA-13-0036: Incorrect headers sent for secured resources
Fuente: Hispasec una-al-día