Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/11/2014
Múltiples vulnerabilitats en Moodle
Moodle ha publicat 15 alertes de seguretat en les quals es corregixen vulnerabilitats amb diversos efectes, des dels habituals XSS fins a injecció de codi.Moodle és una popular plataforma educativa de codi obert que permet als educadors crear i gestionar tant usuaris com cursos d'aprenentatge electrònic. A més, proporciona ferramentes per a la comunicació entre formadors i alumnes.
S’han publicat 15 butlletins de seguretat (de l'MSA-14-0035 a l'MSA-14-0049), entre ells sis considerats com seriosos. Estos podien permetre atacs Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), revelar informació i eludir restriccions de seguretat.
Hi ha un parell de vulnerabilitats que inclús estan pendents d’assignació.
Afectades totes les branques suportades 2.7, 2.6, 2.5 i anteriors versions ja fora de suport.
Referències:CVE-2014-7830, CVE-2014-7831, CVE-2014-7832, CVE-2014-7833, CVE-2014-7834, CVE-2014-7835, CVE-2014-7836, CVE-2014-7837, CVE-2014-7838, CVE-2014-7845, CVE-2014-7846, CVE-2014-7847, CVE-2014-7848
Solució:Les versions 2.8, 2.7.3, 2.6.6 i 2.5.9 solucionen totes les vulnerabilitats. Es poden descarregar des de la pàgina oficial de Moodle.
Notes:Hispasec
Más información:
Moodle downloads
http://download.moodle.org/
MSA-14-0035: Headers not added to some AJAX scripts
https://moodle.org/mod/forum/discuss.php?d=275146
MSA-14-0036: XSS in mapcourse script in Feedback module
https://moodle.org/mod/forum/discuss.php?d=275147
MSA-14-0037: Weak temporary password generation
https://moodle.org/mod/forum/discuss.php?d=275152
MSA-14-0038: Hidden grade information exposed by web services
https://moodle.org/mod/forum/discuss.php?d=275153
MSA-14-0039: Insufficient access check in LTI module
https://moodle.org/mod/forum/discuss.php?d=275154
MSA-14-0040: Information leak in Database activity module
https://moodle.org/mod/forum/discuss.php?d=275155
MSA-14-0041: Lack of capability check in tags list access
https://moodle.org/mod/forum/discuss.php?d=275157
MSA-14-0042: Lack of access check in IP lookup functionality
https://moodle.org/mod/forum/discuss.php?d=275158
MSA-14-0043: Lack of group check in web service for Forum
https://moodle.org/mod/forum/discuss.php?d=275159
MSA-14-0044: Hardware path disclosed in the error message
https://moodle.org/mod/forum/discuss.php?d=275160
MSA-14-0045: XSS file upload possible through web service
https://moodle.org/mod/forum/discuss.php?d=275161
MSA-14-0046: CSRF in LTI module
https://moodle.org/mod/forum/discuss.php?d=275162
MSA-14-0047: Possible data loss in Wiki activity
https://moodle.org/mod/forum/discuss.php?d=275163
MSA-14-0048: CSRF in forum tracking toggle
https://moodle.org/mod/forum/discuss.php?d=275164
MSA-14-0049: Possible to print arbitrary message to user by modifying URL
https://moodle.org/mod/forum/discuss.php?d=275165