Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/05/2012
Múltiples vulnerabilitats en Moodle
S’han reportat múltiples vulnerabilitats en Moodle, que poden ser explotades per usuaris maliciosos per a revelar informació sensible, botar-se certes restriccions de seguretat, atacs d’inserció de seqüències de fitxers scripts i atacs d’injecció SQL, i per persones malicioses per a realitzar atacs de cross-site scripting.1) Hi ha un error en el maneig de permisos d’accés i pot ser explotat per a revelar els detalls d’usuari. Una explotació amb èxit d’esta vulnerabilitat requerix un compte de "teacher" (professor).
2) Un error en llegir les conversacions recents, es pot aprofitar per llegir els missatges d’altres usuaris, a través d’una adreça URL especialment dissenyada.
3) Un error en agregar preguntes per a un examen, no comprova la "qüestió: l’ús de permís” i pot ser aprofitat per a afegir preguntes a un qüestionari.
4) Hi ha un error en el maneig de permisos d’accés en el banc de preguntes, que pot ser explotat per a salvar les preguntes.
5) Hi ha un error en el maneig de permisos d’accés, que pot ser explotat per a editar entrades de només lectura de l’activitat.
6) Hi ha un error que pot ser explotat per modificar els permisos d’usuari. Una explotació amb èxit d’esta vulnerabilitat requerix un compte de "teacher" (professor).
7) Algunes entrada en guardar els títols de pàgina wiki no es verifica apropiadament abans de ser utilitzada. Açò pot ser explotat per a inserir codi HTML arbitrari i codi script, que s’executarà en el navegador d’un usuari en el context d’un lloc afectat, quan les dades malicioses s’estan veient.
Vegeu tots els errors en Secunia: http://secunia.com/advisories/49233/
Sistemes Afectats:Moodle 1.9.x
Moodle 2.0.x
Moodle 2.1.x
Moodle 2.2.x
CVE-2012-2353, CVE-2012-2354, CVE-2012-2355, CVE-2012-2356, CVE-2012-2358, CVE-2012-2359, CVE-2012-2360, CVE-2012-2361, CVE-2012-2362, CVE-2012-2363, CVE-2012-2365, CVE-2012-2366, CVE-2012-2367
Solució:Actualitzeu a les versions 1.9.18, 2.0.9, 2.1.6, o 2.2.3.
Notes:Moodle (MSA-12-0024, MSA-12-0025, MSA-12-0026, MSA-12-0027, MSA-12-0029, MSA-12-0030, MSA-12-0031, MSA-12-0032, MSA-12-0033, MSA-12-0034, MSA-12-0036, MSA-12-0037, MSA-12-0038):
http://moodle.org/mod/forum/discuss.php?d=203041
http://moodle.org/mod/forum/discuss.php?d=203042
http://moodle.org/mod/forum/discuss.php?d=203043
http://moodle.org/mod/forum/discuss.php?d=203044
http://moodle.org/mod/forum/discuss.php?d=203046
http://moodle.org/mod/forum/discuss.php?d=203048
http://moodle.org/mod/forum/discuss.php?d=203049
http://moodle.org/mod/forum/discuss.php?d=203050
http://moodle.org/mod/forum/discuss.php?d=203052
http://moodle.org/mod/forum/discuss.php?d=203053
http://moodle.org/mod/forum/discuss.php?d=203055
http://moodle.org/mod/forum/discuss.php?d=203056
http://moodle.org/mod/forum/discuss.php?d=203057
Secunia: http://secunia.com/advisories/49154/