Múltiples vulnerabilitats en Moodle
S’han publicat set butlletins de seguretat per a Moodle que solucionen vulnerabilitats que podrien permetre la revelació d’informació sensible, segrest de sessió, eludir restriccions de seguretat, i realitzar atacs XSS.
Risc: Alt
Moodle és una aplicació web del tipus LMS (Learning Management System), escrita en PHP que s’utilitza per a la gestió de cursos en línia. Està publicada sota llicència GNU GPL i ha sigut traduïda a més de 91 idiomes. A més de la comunicació entre professorat i alumnes, disposa de distintes ferramentes, com la pujada de fitxers, calendari i fòrums.
Els set butlletins de seguretat de Moodle que s’han donat a conéixer són els següents:
- MSA-12-0057 (CVE-2012-5471): quan un usuari inicia sessió en Dropbox a través del repositori de Moodle, la mencionada sessió roman oberta fins que es tanca el navegador a pesar que l’usuari s’haja desconnectat. Açò podria permetre que altres usuaris pogueren accedir-hi i utilitzar les dades del primer. Ha sigut descoberta per Alexander Bias.
- MSA-12-0058 (CVE-2012-5472): hi ha una fallada en 'formslib.php' que podria permetre a un usuari remot autenticat eludir restriccions d’accés modificant dades d’un camp d’un formulari ja enviat. La fallada ha sigut reportada per Rossiani Wijaya.
- MSA-12-0059 (CVE-2012-5473): un error de falta de filtratge en el mòdul 'Database activity' podria permetre a un usuari veure la informació d’entrades creades per membres d’altres grups a què ell no pertany a través d’una busca avançada. Richard Meyer ha descobert esta vulnerabilitat.
- MSA-12-0060 Petr Škoda Jenny Donnelly han descobert un error de falta de comprovació en la llibreria YUI 2 que podria permetre dur a terme atacs Cross-Site Scripting i executar codi HTML i javascript arbitrari en el navegador d’un usuari en el context d’un lloc afectat.
- MSA-12-0061 (CVE-2012-5479): el plugin 'Portfolio' podria permetre la càrrega local de fitxers (Local File Inclusión, LFI) i execució de comandaments de forma remota (RCE) a través de la resposta d’una crida a l’API especialment manipulada. Cristóbal Leiva és el descobridor d’este error.
- MSA-12-0062 (CVE-2012-5480): Tabitha Roder ha descobert una fallada en el mòdul 'Database activity' de Moodle que podria permetre a qualsevol usuari, fins als invitats, llegir les entrades d’altres usuaris.
- MSA-12-0063 (CVE-2012-5481): Hi ha una fallada que permet revelar informació en la pàgina 'Check Permissions', al permetre que usuaris no administradors pogueren veure els rols de tots els usuaris de la plataforma. ha sigut descobert per Jody Steele.
La majoria d’estes vulnerabilitats afecten les versions 2.1.x, 2.2.x i 2.3.x de Moodle. El butlletí MSA-12-0058 no afecta la branca 2.1, mentres que el MSA-12-0063 únicament afecta la 2.3. La branca 1.9 també es veu involucrada en l’error reportat en el butlletí MSA-12-0060.
Sistemes Afectats: Moodle LMS versions 2.3 fins a la 2.3.2+.
Moodle LMS versions 2.2 fins a la 2.2.5+.
Moodle LMS versions 2.1 fins a la 2.1.8+.
Moodle LMS versions 1.9 fins a la 1.9.18+.
Referències: CVE-2012-5471, CVE-2012-5472, CVE-2012-5473, CVE-2012-5475, CVE-2012-5479, CVE-2012-5480, CVE-2012-5481
Solució:
Actualitzar a les últimes versions disponibles en la pàgina oficial.
Notes: MSA-12-0057: Access issue through repository
MSA-12-0058: Possible form data manipulation issue
MSA-12-0059: Information leak in Database activity module
MSA-12-0060: Cross-site scripting vulnerability in YUI2
MSA-12-0061: Remote code execution through Portfolio API
MSA-12-0062: Information leak in Database activity module
MSA-12-0063: Information leak in Check Permissions page
Hispasec: Una al día