Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/07/2012
Moodle és una aplicació web del tipus LMS (Learning Management System), escrita en PHP, que s’utilitza per a la gestió de cursos en línia. Està publicada sota llicència GNU GPL i ha sigut traduïda a més de 91 idiomes. A més de la comunicació entre professorat i alumnes, disposa de distintes ferramentes, com ara la pujada de fitxers, calendari i fòrums.
S’han donat a conéixer 12 vulnerabilitats en total (del butlletí MSA-12-0039 al MSA-12-0050), 10 de les quals han sigut qualificades com d’importància menor i 2 d’importància seriosa. Pràcticament totes les versions, des de la 2.3 a la 2.0 n'estan afectades per alguna, però especialment les versions 2.2 i 2.1.
La majoria dels butlletins solucionen vulnerabilitats provocades per una incorrecta validació de dades, la qual cosa donava lloc a diferents impactes. Especialment importants són els butlletins MSA-12-0047 i MSA-12-0041, que podrien permetre injecció SQL i atacs XSS, respectivament. Altres vulnerabilitats, encara que qualificades com a menors, són especialment fàcils d’aprofitar, com ara MSA-12-0050, que pot causar una denegació de servici només realitzant una busca avançada en el lloc web.
A continuació detallem les vulnerabilitats, tot identificant-les amb el número de butlletí i CVE.
MSA-12-0039 (CVE-2012-3387). En la funció 'file_save_draft_area_files' de 'lib/filelib.php' no es validen correctament els límits de fitxer quan està activat l’ús de referències, la qual cosa permetia la pujada de fitxers sense limitar la seua dimensió quan es permeten les referències.
MSA-12-0040 (CVE-2012-3388). Una fallada en la funció 'is_enrolled' de 'lib/accesslib.php' provoca que no es comproven les capacitats dels usuaris escorcollats, cosa que possibilita el salt de restriccions de seguretat
MSA-12-0041 (CVE-2012-3389). Hi ha un error de falta de neteja dels valors 'lti_typename' i 'lti_toolurl' de les peticions de tipus POST en el mòdul LTI, que podria ser utilitzat per a dur a terme atacs 'cross-site scripting' (XSS) a través de peticions POST.
MSA-12-0042 (CVE-2012-3390). Hi ha una fallada de comprovació de permisos en la funció 'file_pluginfile' que podria permetre que les dades incrustades en un blog estigueren accessibles inclús havent ocultat el dit blog, la qual cosa podria revelar informació sensible.
MSA-12-0043 (CVE-2012-3391). A causa d’una falta de comprovació de l’usuari que fa peticions per RSS en 'forum/rsslib.php', un usuari podria veure el contingut dels fòrums Q&A sense haver creat cap tema en el fòrum, cosa que hi és requisit. Això pot revelar informació sensible a usuaris sense permisos per a accedir-hi
MSA-12-0044 (CVE-2012-3392). No es revisen correctament les capacitats d’un usuari a l’hora d’eliminar-ne la subscripció d’un fòrum, cosa que podria permetre que dugueren a terme esta acció sense tindre-hi permisos i fer un salt de restriccions.
MSA-12-0045 (CVE-2012-3393). En 'repository/lib.php', responsable de l’administració dels repositoris, els formularis per a reanomenar-los no estaven sent filtrats, cosa que podria provocar la injecció de codi HTML o JavaScript, a través d’un nom de repositori especialment dissenyat.
MSA-12-0046 (CVE-2012-3394). Quan es produïx una redirecció d’un usuari després de l’autenticació per LDAP a través de HTTPS, la funció 'redirect' efectua esta redirecció a través de HTTP.
MSA-12-0047 (CVE-2012-3395). El paràmetre 'data submitted' del mòdul de retroalimentació (feedback) no estava sent correctament filtrat, cosa que podia permetre atacs d’injecció SQL.
MSA-12-0048 (CVE-2012-3396). En la zona d’administració de cohorts o grups globals, el paràmetre 'name' no estava sent correctament filtrat, cosa que podia permetre atacs 'cross-site scripting' (XSS). Este error es va introduir amb el pedaç per a solucionar el butlletí MDL-31691 .
MSA-12-0049 (CVE-2012-3397). A l’hora de mostrar les activitats, la política de restricció d’accessos 'show availability' substituïx erròniament les polítiques de grup i permet que usuaris no autoritzats vegen l’activitat d’altres usuaris que no hauria de ser-los revelada.
MSA-12-0050 (CVE-2012-3398). A través de la funció 'busca avançada' podrien fer-se peticions ineficients a la base de dades quan té un gran nombre de registres, i causar un atac de denegació de servici provocada per llargs períodes amb una gran càrrega de CPU./p>
Les vulnerabilitats dels butlletins MSA-12-0046, MSA-12-0048 i MSA-12-0049 només afecten les versions 2.3.x, 2.2.x, 2.1.x i 2.0.x.
Les versions afectades pels butlletins MSA-12-0047 i MSA-12-0050 són les 2.2.x, 2.1.x i 2.0.x.
MSA-12-0040, MSA-12-0041 afecten les versions 2.3.x i 2.2.x, mentres que els butlletins MSA-12-0042, MSA-12-0043, MSA-12-0044, MSA-12-0045 afecten les versions 2.2.x i 2.1.x.
Finalment, MSA-12-0039 només afecta la versió 2.3.x
Referències:CVE-2012-3387,CVE-2012-3388,CVE-2012-3389,CVE-2012-3390,CVE-2012-3391,CVE-2012-3392,CVE-2012-3393,CVE-2012-3394,CVE-2012-3395,CVE-2012-3396,CVE-2012-3397,CVE-2012-3398
Solució:Estes vulnerabilitats ja es troben corregides en l'última versió del codi disponible en els repositoris públics de cada una de les versions de Moodle.
Notes: