Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/06/2015
Publicados varios boletines de seguridad en Moodle
Se han publicado ocho boletines de seguridad de diversa criticidad que afectan a las versiones actuales de Moodle.El primer boletín publicado, el MSA-15-0018, añade una comprobación de XSS en los módulos de evaluación de exámenes.
El segundo boletín, MSA-15-0019, limita las redirecciones externas que se pueden realizar para evitar un posible phishing al usuario.
Seguimos con el boletín MSA-15-0020, considerado grave, que soluciona un problema de revelación de información sobre los usuarios en el enlace de confirmación de cuenta.
El boletín MSA-15-0021 corrige un fallo por el que cualquier usuario no autenticado se puede suscribir a reglas de monitorización de eventos globales.
A continuación tenemos otro fallo considerado grave en el boletín MSA-15-0022, que resuelve un posible XSS al utilizar los Web Services que proporciona Moodle para comunicarse con aplicaciones externas.
El siguiente boletín, con código MSA-15-0023, soluciona un fallo por el que un usuario suspendido podría llegar a iniciar sesión en el sistema.
Seguimos con el boletín MSA-15-0024, que corrige un fallo por el que un usuario cuya participación en un curso ha sido suspendida podía seguir viendo detalles de la estructura del curso.
Para finalizar tenemos el boletín MSA-15-0025, que resuelve un fallo por el que un usuario con el privilegio de subir ficheros revocado podía seguir subiendo ficheros utilizando una función obsoleta en los Web Services.
Sistemas Afectados:Todas las versiones de Moodle, tanto las actuales como versiones anteriores no soportadas.
Referencias:CVE-2015-3174, CVE-2015-3175, CVE-2015-3176, CVE-2015-3177, CVE-2015-3178, CVE-2015-3179, CVE-2015-3180, CVE-2015-3181
Solución:Moodle ha publicado las versiones 2.9, 2.8.6, 2.7.8 y 2.6.11 de su herramienta, que solucionan estas vulnerabilidades.
Notas:INCIBE - MSA-15-0018: Quiz manual-grading is an XSS risk, but does not declare that
INCIBE - MSA-15-0019: Possible phishing when redirecting to external site using referer header
INCIBE - MSA-15-0020: User fullname disclosure through account confirmation link
INCIBE - MSA-15-0021: Any authenticated user can subscribe to site-wide event monitor rules
INCIBE - MSA-15-0022: Potential XSS risk when returning text entered by student from Web Services
INCIBE - MSA-15-0023: Suspended user is able to login when confirming email
INCIBE - MSA-15-0024: User with suspended enrolment can see sections in the navigation tree
INCIBE - MSA-15-0025: Capability to manage own files is not respected in Web Services