Moodle 2.8, 2.7.3, 2.6.6 and 2.5.9 are now available
(Moodle 2.8, 2.7.3, 2.6.6 y 2.5.9 ya están disponibles)
Un mensaje para registrados Administradores de Moodle
Esta dirección de correo electrónico está saliendo a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad de Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.Estoy escribiendo hoy para hacerle saber que Moodle 2.8, 2.7.3, 2.6.6 y 2.5.9 están disponibles a través de los canales habituales de descarga abierta: http://download.moodle.org o Git.
Tenga en cuenta que la rama 2.6 a partir de ahora sólo se admite en las revisiones de seguridad y 2.5 sucursal ya no es compatible.
Notas de la versión están disponibles para cada nueva versión.
- Moodle 2.8 notas de liberación
- Moodle 2.7.3 notas de la versión
- Moodle 2.6.6 notas de la versión
- Moodle 2.5.9 notas de la versión
Cuestiones de Seguridad
Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulir, hay cuestiones de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como un administrador de Moodle registrada que le estamos dando aviso previo de estos temas por lo que tiene algo de tiempo para corregirlos antes de que los publiquemos más ampliamente en http://moodle.org/security en una semana.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, entonces por favor consulte la lista siguiente cuidadosamente y remendar su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Gerente de Desarrollo de Procesos, HQ Moodle
================================================== ============================ MSA-14-0035: No encabezados añade a algunos scripts AJAX Descripción: Sin forzar la codificación, que era posible que UTF7 personajes podrían ser utilizadas para forzar los scripts cross-site a Los scripts AJAX (aunque esto es poco probable en los navegadores modernos y en la mayoría de las páginas de Moodle). Resumen Problema: Algunos scripts Ajax y páginas hechas a mano no envían adecuada cabecera de codificación Severidad / Riesgo: Menor Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Petr Skoda Edición No .: MDL-47966 CVE identificador: A la espera de Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47966 ============================== ==================== ============================ MSA-14-0036: XSS en escritura mapcourse en módulo Contacto Descripción: Última cadena de búsqueda en el módulo Regeneración no se escapó en el campo de entrada de búsqueda. Resumen Edición: XSS mediante $ searchcourse en mod / feedback / mapcourse.php Severidad / Riesgo: Grave Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Petr Skoda Edición No .: MDL-47865 Solución: Desactivar el módulo de retroalimentación o eliminar mod / retroalimentación: capacidad mapcourse de usuarios CVE identificador: CVE-2014-7830 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47865 ============================== ==================== ============================ MSA-14 hasta 0037: Débil generación contraseña temporal Descripción: La lista de palabras para la generación de contraseña temporal fue corta es decir, el conjunto de posibles contraseñas no era lo suficientemente grande. Resumen Edición: generate_password () es inseguro y en uso Severidad / Riesgo: Menor Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Aaron Barnes Edición No .: MDL-47050 Solución: habilite la directiva de contraseñas CVE identificador: A la espera de Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47050 ============================== ==================== ============================ MSA-14-0038: información de grado Ocultos expuesta por los servicios web Descripción: El usuario sin capacidad de ver las calificaciones ocultas podría recuperar grados utilizando los servicios web. Resumen Edición: get_grades servicio web expone grados ocultos a los estudiantes Severidad / Riesgo: Grave Versiones afectadas: 2.7 y 2.7.2 Versiones fija: 2.8, 2.7.3 Reportado por: Damyon Wiese Edición No .: MDL-47766 Solución: no permitir core_grades_get_grades en servicios web CVE identificador: CVE-2014-7831 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47766 ============================== ==================== ============================ MSA-14-0039: comprobación de acceso insuficiente en el módulo LTI Descripción: controles de capacidad en el módulo de LTI sólo comprueban el acceso a el curso y no a la actividad. Resumen Edición: mod / lti / launch.php carece de control de acceso Severidad / Riesgo: Grave Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Petr Skoda Edición No .: MDL-47921 CVE identificador: CVE-2014-7832 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47921 ============================== ==================== ============================ MSA-14-0040: Información de fuga en el módulo de base de datos de actividad Descripción: Las entradas de nivel de Grupo en el módulo de base de datos se convirtieron en la actividad visible para los usuarios en otros grupos después de ser editado por un profesor. Resumen Edición: ID de grupo de registro de base de datos sobrescrita por 0 Severidad / Riesgo: Menor Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Pamela Verret Edición No .: MDL-47697 CVE identificador: CVE-2014-7833 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47697 ============================== ==================== ============================ MSA-14 hasta 0041: La falta de comprobación de la capacidad en el acceso lista de etiquetas Descripción: Los usuarios sin privilegios pueden acceder a la lista de etiquetas disponibles en el sistema. Resumen Problema: La página de autocompletar Tag AJAX carece de la capacidad de verificación Severidad / Riesgo: Grave Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Frédéric Massart Edición No .: MDL-47965 CVE identificador: A la espera de Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47965 ============================== ==================== ============================ MSA-14-0042: La falta de comprobación de acceso en la funcionalidad de búsqueda de IP Descripción: El script utilizado para geo-mapa direcciones IP que estaba disponible para los usuarios no autenticados creciente carga del servidor cuando se usa por otros partidos. Resumen Edición: iplookup disponible para los clientes no autenticados Severidad / Riesgo: Menor Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Dan Poltawski Edición No .: MDL-47321 CVE identificador: A la espera de Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47321 ============================== ==================== ============================ MSA-14 hasta 0043: La falta de registro de entrada en el grupo de servicios web para el Foro Descripción: Cuando se utiliza la función de servicio web para los debates del foro, permisos de grupo no se verificaron. Resumen Edición: forum_get_discussions servicio web falla grupo comprobar los permisos Severidad / Riesgo: Menor Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5 Versiones fijas: 2.8, 2.7.3 y 2.6.6 Reportado por: Petr Skoda Edición No .: MDL-45303 Solución: no habilitar la función de servicio web mod_forum_get_discussions CVE identificador: CVE-2014-7834 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-45303 ============================== ==================== ============================ Ruta del sistema de archivos se describe en el mensaje de error: MSA-14-0044 Descripción: Al acceder directamente un archivo interno, un no autenticado usuario puede mostrar un mensaje de error que contiene el archivo ruta del sistema de la instalación de Moodle. Información del sistema de lib / PHPUnit / fugas Bootstrap.php: Emisión de resumen: phpunit Severidad / Riesgo: Menor Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5 Versiones fijas: 2.8, 2.7.3 y 2.6.6 Reportado por: Sam Marshall Edición No .: MDL-47287 Solución: Prohibir el acceso a Internet a esta archivo en directivas de servidor web CVE identificador: A la espera de Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47287 ============================== ==================== ============================ MSA-14-0045: carga de archivos XSS posible a través de servicios web Descripción: Si el servicio web con la función de carga de archivos estaba disponible, usuario podría cargar archivo XSS para su foto de perfil área. Resumen Edición: XSS través de WS de carga de archivos de usuario Severidad / Riesgo: Grave Versiones afectadas: 2.7 a 2.7.2 y 2.6 a 2.6.5 Versiones fijas: 2.8, 2.7.3 y 2.6.6 Reportado por: Petr Skoda Edición No .: MDL-47868 Solución: no permitir "¿Puede subir archivos" en los servicios web especialmente para los usuarios no son de confianza CVE identificador: CVE-2014-7835 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47868 ============================== ==================== ============================ MSA-14-0046: CSRF en el módulo LTI Descripción: Dos archivos en el módulo de LTI carecían de un control de clave de sesión permitiendo potencialmente cross-site solicitud falsificación. Resumen Edición: CSRF en mod / lti / request_tool.php y mod / lti / instructor_edit_tool_type.php Severidad / Riesgo: Grave Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Petr Skoda Edición No .: MDL-47924 CVE identificador: CVE-2014-7836 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47924 ============================== ==================== ============================ MSA-14-0047: Posible pérdida de datos en la actividad de Wiki Descripción: Al ajustar las URL, los usuarios que fueron capaces de eliminar páginas en al menos una actividad de Wiki en el curso fueron capaces de eliminar páginas en otras páginas Wiki en el mismo curso. Resumen Edición: parámetros validados en mod / wiki / admin.php Severidad / Riesgo: Menor Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Petr Skoda Edición No .: MDL-47949 CVE identificador: CVE-2014-7837 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47949 ============================== ==================== ============================ MSA-14 hasta 0048: CSRF, en el foro de seguimiento de palanca Descripción: Configura la escritura de seguimiento en el módulo Foro carecía de una sesión verificación de claves permitiendo potencialmente cross-site solicitud falsificación. Resumen Edición: CSRF en mod / forum / settracking.php Severidad / Riesgo: Menor Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Petr Skoda Edición No .: MDL-48019 CVE identificador: CVE-2014-7838 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48019 ============================== ==================== ============================ MSA-14-0049: Posibilidad de imprimir el mensaje arbitrario a usuario mediante la modificación de la URL Descripción: Sesión de verificación clave que faltaba en la página de retorno en el módulo LTI permitiendo atacante para incluir el mensaje arbitrario en el URL cadena de consulta Resumen Edición: mod / lti / return.php permite atacante para imprimir el mensaje arbitrario Severidad / Riesgo: Menor Versiones afectadas: 2.7 a 2.7.2, 2.6 a 2.6.5, 2.5 y 2.5.8 y anteriores versiones no compatibles Versiones fijas: 2.8, 2.7.3, 2.6.6 y 2.5.9 Reportado por: Petr Skoda Edición No .: MDL-47927 CVE identificador: A la espera de Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47927 ============================== ==================== ============================
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 2.8, 2.7.3, 2.6.6 and 2.5.9 are available via the usual open download channels: http://download.moodle.org or Git.
Note that the 2.6 branch from now on is supported for security fixes only and 2.5 branch is no longer supported.
Release notes are available for each new version.
- Moodle 2.8 release notes
- Moodle 2.7.3 release notes
- Moodle 2.6.6 release notes
- Moodle 2.5.9 release notes
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on http://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
============================================================ ================== MSA-14-0035: Headers not added to some AJAX scripts Description: Without forcing encoding, it was possible that UTF7 characters could be used to force cross-site scripts to AJAX scripts (although this is unlikely on modern browsers and on most Moodle pages). Issue summary: Some ajax scripts and hand crafted pages do not send proper encoding header Severity/Risk: Minor Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Petr Skoda Issue no.: MDL-47966 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47966 ============================== ============================== ================== MSA-14-0036: XSS in mapcourse script in Feedback module Description: Last search string in Feedback module was not escaped in the search input field. Issue summary: XSS through $searchcourse in mod/feedback/mapcourse.php Severity/Risk: Serious Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Petr Skoda Issue no.: MDL-47865 Workaround: Disable feedback module or remove mod/feedback:mapcourse capability from users CVE identifier: CVE-2014-7830 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47865 ============================== ============================== ================== MSA-14-0037: Weak temporary password generation Description: The word list for temporary password generation was short meaning the pool of possible passwords was not big enough. Issue summary: generate_password() is insecure and in use Severity/Risk: Minor Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Aaron Barnes Issue no.: MDL-47050 Workaround: Enable password policy CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47050 ============================== ============================== ================== MSA-14-0038: Hidden grade information exposed by web services Description: User without capability to view hidden grades could retrieve grades using web services. Issue summary: get_grades webservice exposes hidden grades to students Severity/Risk: Serious Versions affected: 2.7 and 2.7.2 Versions fixed: 2.8, 2.7.3 Reported by: Damyon Wiese Issue no.: MDL-47766 Workaround: Do not enable core_grades_get_grades in web services CVE identifier: CVE-2014-7831 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47766 ============================== ============================== ================== MSA-14-0039: Insufficient access check in LTI module Description: Capability checks in the LTI module only checked access to the course and not to the activity. Issue summary: mod/lti/launch.php lacks access control Severity/Risk: Serious Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Petr Skoda Issue no.: MDL-47921 CVE identifier: CVE-2014-7832 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47921 ============================== ============================== ================== MSA-14-0040: Information leak in Database activity module Description: Group-level entries in Database activity module became visible to users in other groups after being edited by a teacher. Issue summary: Group ID of Database record overwritten by 0 Severity/Risk: Minor Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Pamela Verret Issue no.: MDL-47697 CVE identifier: CVE-2014-7833 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47697 ============================== ============================== ================== MSA-14-0041: Lack of capability check in tags list access Description: Unprivileged users could access the list of available tags in the system. Issue summary: Tag autocomplete AJAX page lacks capability check Severity/Risk: Serious Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Frédéric Massart Issue no.: MDL-47965 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47965 ============================== ============================== ================== MSA-14-0042: Lack of access check in IP lookup functionality Description: The script used to geo-map IP addresses was available to unauthenticated users increasing server load when used by other parties. Issue summary: iplookup is available to unauthenticated guests Severity/Risk: Minor Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Dan Poltawski Issue no.: MDL-47321 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47321 ============================== ============================== ================== MSA-14-0043: Lack of group check in web service for Forum Description: When using the web service function for Forum discussions, group permissions were not checked. Issue summary: forum_get_discussions web service misses group permissions check Severity/Risk: Minor Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5 Versions fixed: 2.8, 2.7.3 and 2.6.6 Reported by: Petr Skoda Issue no.: MDL-45303 Workaround: Do not enable web service function mod_forum_get_discussions CVE identifier: CVE-2014-7834 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-45303 ============================== ============================== ================== MSA-14-0044: File system path disclosed in the error message Description: By directly accessing an internal file, an unauthenticated user can be shown an error message containing the file system path of the Moodle install. Issue summary: PHPunit: lib/phpunit/bootstrap.php leaks system info Severity/Risk: Minor Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5 Versions fixed: 2.8, 2.7.3 and 2.6.6 Reported by: Sam Marshall Issue no.: MDL-47287 Workaround: Prevent web access to this file in web server directives CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47287 ============================== ============================== ================== MSA-14-0045: XSS file upload possible through web service Description: If web service with file upload function was available, user could upload XSS file to his profile picture area. Issue summary: XSS through WS user file upload Severity/Risk: Serious Versions affected: 2.7 to 2.7.2 and 2.6 to 2.6.5 Versions fixed: 2.8, 2.7.3 and 2.6.6 Reported by: Petr Skoda Issue no.: MDL-47868 Workaround: Do not enable "Can upload files" in web services especially to untrusted users CVE identifier: CVE-2014-7835 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47868 ============================== ============================== ================== MSA-14-0046: CSRF in LTI module Description: Two files in the LTI module lacked a session key check potentially allowing cross-site request forgery. Issue summary: CSRF in mod/lti/request_tool.php and mod/lti/instructor_edit_tool_ type.php Severity/Risk: Serious Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Petr Skoda Issue no.: MDL-47924 CVE identifier: CVE-2014-7836 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47924 ============================== ============================== ================== MSA-14-0047: Possible data loss in Wiki activity Description: By tweaking URLs, users who were able to delete pages in at least one Wiki activity in the course were able to delete pages in other Wiki pages in the same course. Issue summary: unvalidated parameters in mod/wiki/admin.php Severity/Risk: Minor Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Petr Skoda Issue no.: MDL-47949 CVE identifier: CVE-2014-7837 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47949 ============================== ============================== ================== MSA-14-0048: CSRF in forum tracking toggle Description: Set tracking script in the Forum module lacked a session key check potentially allowing cross-site request forgery. Issue summary: CSRF in mod/forum/settracking.php Severity/Risk: Minor Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Petr Skoda Issue no.: MDL-48019 CVE identifier: CVE-2014-7838 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48019 ============================== ============================== ================== MSA-14-0049: Possible to print arbitrary message to user by modifying URL Description: Session key check was missing on return page in module LTI allowing attacker to include arbitrary message in URL query string Issue summary: mod/lti/return.php allows attacker to print arbitrary message Severity/Risk: Minor Versions affected: 2.7 to 2.7.2, 2.6 to 2.6.5, 2.5 to 2.5.8 and earlier unsupported versions Versions fixed: 2.8, 2.7.3, 2.6.6 and 2.5.9 Reported by: Petr Skoda Issue no.: MDL-47927 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-47927 ============================== ============================== ==================
No hay comentarios:
Publicar un comentario