Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/11/2013
Moodle, és coneguda i àmpliament utilitzada com a plataforma educativa de codi obert que permet als educadors crear i gestionar tant usuaris com cursos de modalitat d'aprenentatge electrònic. A més proporciona ferramentes per a la comunicació entre formadors i alumnes. Amb poques paraules, especifiquem la sèrie de butlletins publicats i les seues vulnerabilitats:
MSA-13-0036, marcada amb un impacte 'lleu', solucionaria la possible revelació d’informació sensible, a causa de la incorrecta configuració de les directives de memòria cau utilitzades en les capçaleres per a gestionar recursos segurs (CVE-2013-4522), en concret la falta de la capçalera 'Cache-Control: private', que possibilita que siguen escorcollats en la memòria cau compartida.
MSA-13-0040, MSA-13-0039 i MSA-13-0037, marcades amb un impacte 'sever' i que corregixen diferents 'cross-site scripting' en el mòdul Quiz (CVE-2013-4525) a través de la pàgina "Quiz Results" i en el mòdul Messages (CVE-2013-4523), a més d’un tercer en la llibreria YUI2 (CVE-2013-6780) a causa dels fitxers SWF distribuïts en el directori 'lib/yui' que es veien afectats.
I finalment el butlletí MSA-13-0036, marcat també amb un impacte 'sever' a causa d’un salt de restriccions a través del repositori d’arxiu (File System Repository), que permetria l’accés a fitxers fora del mateix.
Totes les branques suportades (2.5, 2.4 i 2.3) i anteriors.
Referències:CVE-2013-4522, CVE-2013-4525, CVE-2013-4523, CVE-2013-6780
Solució:Els errors han sigut corregits en les branques afectades per mitjà de les noves versions disponibles 2.6, 2.5.3, 2.4.7 i 2.3.10 i poden ser descarregades des de la seua pàgina oficial:
http://download.moodle.org/
Notes: