Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/01/2015
Múltiples vulnerabilitats detectades en Moodle
Moodle ha publicat huit butlletins de seguretat que corregixen vulnerabilitats detectades en totes les versions de la seua aplicació.El passat 19 de gener Moodle, una de les plataformes de gestió educativa de codi obert d’ús més estés, va publicar huit butlletins de seguretat que corregixen altres tantes vulnerabilitats trobades en la seua aplicació.
Quatre d’estos butlletins estan qualificats com a greus i altres quatre com a menors i, excepte un d’estos, afecten totes les versions de l’aplicació, incloses versions anteriors de l’aplicació que ja no estan suportades, per la qual cosa urgix encara més l’actualització de les instal·lacions amb versions anteriors.
Les vulnerabilitats corregixen fallades de: XSS, amb possible escalada de privilegis; CSRF, denegació de servici en el motor d’expressions regulars disponible en el filtre multimèdia; forçar el tancament de la sessió de l’usuari i revelació d’informació sensible (entre altres sobre qualsevol usuari i esdeveniment del calendari, encara sense tindre permisos concedits per a visualitzar-los).
Sistemes Afectats:Moodle, branques suportades (2.8.x, 2.7.x i 2.6.x) i versions anteriors no suportades.
Referències:CVE-2015-0211, CVE-2015-0212, CVE-2015-0213, CVE-2015-0214, CVE-2015-0215, CVE-2015-0216, CVE-2015-0217, CVE-2015-0218
Solució:Moodle ha publicat les versions 2.8.2, 2.7.4 i 2.6.7, que solucionen les vulnerabilitats publicades.
Estes versions es poden descarregar des de la pàgina oficial de descàrregues de Moodle.
Notes:Hispasec una-al-dia
MSA-15-0001: Insufficient access check in LTI module
MSA-15-0002: XSS vulnerability in course request pending approval page
MSA-15-0003: CSRF possible in Glossary module
MSA-15-0004: Information leak through messaging functions in web-services
MSA-15-0005: Insufficient access check in calendar functions in web-services
MSA-15-0006: Capability to grade Lesson module is missing XSS bitmask
MSA-15-0007: ReDoS possible in the multimedia filter
MSA-15-0008: Forced logout through Shibboleth authentication plugin