#Moodle 2.8.2, 2.7.4 y 2.6.7 ya están disponibles

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con las nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.

Estoy escribiendo hoy para hacerle saber que Moodle 2.8.2, 2.7.4 y 2.6.7 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.

Tenga en cuenta que la rama 2.6 es ahora compatible únicamente con parches de seguridad.

Notas de publicación están disponibles para cada nueva versión.

• Moodle 2.8.2 notas de la versión
• Moodle 2.7.4 notas de la versión
• Moodle 2.6.7 notas de la versión

CUESTIONES DE SEGURIDAD

Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en https://moodle.org/securityen una semana.
Para evitar dejar su sitio vulnerable, le recomendamos que actualice los sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, consulte la siguiente lista con cuidado y remendar su propio sistema o apagar esas características.

GRACIAS

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Gerente de Desarrollo de Procesos, HQ Moodle

================================================== ============================
MSA-15-0001: comprobación de acceso insuficiente en el módulo LTI

Descripción: La ausencia de capacidad de verificación en AJAX guión backend podía
                   permiten a cualquier usuario incluido para buscar en la lista de registrados
                   instrumentos
Resumen Edición: problemas de seguridad mod / lti / ajax.php
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.1, 2.7 y 2.7.3, 2.6 a 2.6.6 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.2, 2.7.4 y 2.6.7
Reportado por: Petr Skoda
Emitir no .: MDL-47920
CVE identificador: CVE-2015-0211
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-47920

================================================== ============================
MSA-15-0002: vulnerabilidad XSS en la solicitud supuesto pendiente página de aprobación

Descripción: Resumen del curso bajo petición supuesto pendiente página de aprobación era
                   mostrada con el gerente sin escapar y podría ser utilizado para
                   Ataque XSS
Resumen Edición: XSS en la solicitud supuesto pendiente página de aprobación (Privilege
                   Escalation?)
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.1, 2.7 y 2.7.3, 2.6 a 2.6.6 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.2, 2.7.4 y 2.6.7
Reportado por: Skylar Kelty
Emitir no .: MDL-48368
Solución: Conceder permiso moodle / course: solicitud sólo para confiar
                   usuarios
CVE identificador: CVE-2015-0212
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48368

================================================== ============================
MSA-15 hasta 0003: CSRF posible en el módulo Glosario

Descripción: Dos archivos en el módulo Glosario carecían de un cheque clave de sesión
                   permitiendo potencialmente cross-site solicitud falsificación
Resumen Edición: CSRF múltiple en glosario mod
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.1, 2.7 y 2.7.3, 2.6 a 2.6.6 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.2, 2.7.4 y 2.6.7
Reportado por: Ankit Agarwal
Emitir no .: MDL-48106
CVE identificador: CVE-2015-0213
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48106

================================================== ============================
MSA-15 hasta 0004: Información filtrarse a través de las funciones de mensajería de servicios web

Descripción: A través de servicios web era posible el acceso
                   funciones relacionadas con la mensajería, tales como la búsqueda de personas, incluso si
                   mensajería está desactivado en el sitio
Resumen Problema: Mensajes funciones externas no comprueba si la mensajería es
                   habilitado
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.1, 2.7 y 2.7.3, 2.6 a 2.6.6 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.2, 2.7.4 y 2.6.7
Reportado por: Juan Leyva
Emitir no .: MDL-48329
Solución: Desactivar los servicios web o mensaje relacionado individuo desactivar
                   funciones
CVE identificador: CVE-2015-0214
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48329

================================================== ============================
MSA-15-0005: comprobación de acceso insuficiente en funciones de calendario en servicios web

Descripción: A través de servicios web que era posible obtener información
                   sobre los eventos que el usuario del calendario no tenían suficiente
                   permisos para ver
Resumen Edición: Calendario / externallib.php carece
                   self :: validate_context ($ contexto);
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.1, 2.7 y 2.7.3, 2.6 a 2.6.6 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.2, 2.7.4 y 2.6.7
Reportado por: Petr Skoda
Emitir no .: MDL-48017
CVE identificador: CVE-2015-0215
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48017

================================================== ============================
MSA-15-0006: Capacidad para módulo Lección grado no se encuentra XSS máscara de bits

Descripción: Los usuarios con capacidad para calificar en el módulo Lección no eran
                   informó que los usuarios con riesgo XSS pero su respuesta fue
                   aparece sin limpieza
Resumen Edición: mod / lesson: capacidad grado faltante RISK_XSS pero ensayo
                   retroalimentación se muestra con noclean = true
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.1
Versiones fijas: 2.8.2
Reportado por: Damyon Wiese
Emitir no .: MDL-48034
CVE identificador: CVE-2015-0216
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48034

================================================== ============================
MSA-15-0007: Redos posible en el filtro multimedia

Descripción: expresión regular no es óptima en el filtro podría ser
                   explotado para crear carga del servidor adicional o hacer especial
                   La página no está disponible
Resumen Edición: Redos en el filtro multimedia
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.1, 2.7 y 2.7.3, 2.6 a 2.6.6 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.2, 2.7.4 y 2.6.7
Reportado por: Nicolas Martignoni
Emitir no .: MDL-48546
Solución: Desactivar filtro multimedia
CVE identificador: CVE-2015-0217
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48546

================================================== ============================
MSA-15-0008: cierre de sesión forzado a través de Shibboleth plugin de autenticación

Descripción: Se logró forjar una solicitud para cerrar la sesión los usuarios, incluso
                   cuando no autenticado a través de Shibboleth
Resumen Edición: cierre de sesión forzado a través de autenticación / shibboleth / logout.php
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.1, 2.7 y 2.7.3, 2.6 a 2.6.6 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.2, 2.7.4 y 2.6.7
Reportado por: Petr Skoda
Emitir no .: MDL-47964
Solución: Denegar el acceso a presentar auth / shibboleth / logout.php en servidor web
                   configuración
CVE identificador: CVE-2015-0218
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-47964

================================================== ============================

Moodle 2.8.2, 2.7.4 and 2.6.7 are now available

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.8.2, 2.7.4 and 2.6.7 are available via the usual open download channels: https://download.moodle.org or Git.
Note that the 2.6 branch is now supported for security fixes only.
Release notes are available for each new version.

• Moodle 2.8.2 release notes
• Moodle 2.7.4 release notes
• Moodle 2.6.7 release notes

SECURITY ISSUES

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

THANKS

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ

==============================================================================
MSA-15-0001: Insufficient access check in LTI module

Description:       Absence of capability check in AJAX backend script could
                   allow any enrolled user to search the list of registered
                   tools
Issue summary:     mod/lti/ajax.php security problems
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.1, 2.7 to 2.7.3, 2.6 to 2.6.6 and earlier
                   unsupported versions
Versions fixed:    2.8.2, 2.7.4 and 2.6.7
Reported by:       Petr Skoda
Issue no.:         MDL-47920
CVE identifier:    CVE-2015-0211
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-47920

==============================================================================
MSA-15-0002: XSS vulnerability in course request pending approval page

Description:       Course summary on course request pending approval page was
                   displayed to the manager unescaped and could be used for
                   XSS attack
Issue summary:     XSS in course request pending approval page (Privilege
                   Escalation?)
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.1, 2.7 to 2.7.3, 2.6 to 2.6.6 and earlier
                   unsupported versions
Versions fixed:    2.8.2, 2.7.4 and 2.6.7
Reported by:       Skylar Kelty
Issue no.:         MDL-48368
Workaround:        Grant permission moodle/course:request only to trusted
                   users
CVE identifier:    CVE-2015-0212
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48368

==============================================================================
MSA-15-0003: CSRF possible in Glossary module

Description:       Two files in the Glossary module lacked a session key check
                   potentially allowing cross-site request forgery
Issue summary:     Multiple CSRF in mod glossary
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.1, 2.7 to 2.7.3, 2.6 to 2.6.6 and earlier
                   unsupported versions
Versions fixed:    2.8.2, 2.7.4 and 2.6.7
Reported by:       Ankit Agarwal
Issue no.:         MDL-48106
CVE identifier:    CVE-2015-0213
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48106

==============================================================================
MSA-15-0004: Information leak through messaging functions in web-services

Description:       Through web-services it was possible to access
                   messaging-related functions such as people search even if
                   messaging is disabled on the site
Issue summary:     Messages external functions doesn't check if messaging is
                   enabled
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.1, 2.7 to 2.7.3, 2.6 to 2.6.6 and earlier
                   unsupported versions
Versions fixed:    2.8.2, 2.7.4 and 2.6.7
Reported by:       Juan Leyva
Issue no.:         MDL-48329
Workaround:        Disable web services or disable individual message-related
                   functions
CVE identifier:    CVE-2015-0214
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48329

==============================================================================
MSA-15-0005: Insufficient access check in calendar functions in web-services

Description:       Through web-services it was possible to get information
                   about calendar events which user did not have enough
                   permissions to see
Issue summary:     calendar/externallib.php lacks
                   self::validate_context($context);
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.1, 2.7 to 2.7.3, 2.6 to 2.6.6 and earlier
                   unsupported versions
Versions fixed:    2.8.2, 2.7.4 and 2.6.7
Reported by:       Petr Skoda
Issue no.:         MDL-48017
CVE identifier:    CVE-2015-0215
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48017

==============================================================================
MSA-15-0006: Capability to grade Lesson module is missing XSS bitmask

Description:       Users with capability to grade in Lesson module were not
                   reported as users with XSS risk but their feedback was
                   displayed without cleaning
Issue summary:     mod/lesson:grade capability missing RISK_XSS but essay
                   feedback is displayed with noclean=true
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.1
Versions fixed:    2.8.2
Reported by:       Damyon Wiese
Issue no.:         MDL-48034
CVE identifier:    CVE-2015-0216
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48034

==============================================================================
MSA-15-0007: ReDoS possible in the multimedia filter

Description:       Not optimal regular expression in the filter could be
                   exploited to create extra server load or make particular
                   page unavailable
Issue summary:     ReDOS in the multimedia filter
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.1, 2.7 to 2.7.3, 2.6 to 2.6.6 and earlier
                   unsupported versions
Versions fixed:    2.8.2, 2.7.4 and 2.6.7
Reported by:       Nicolas Martignoni
Issue no.:         MDL-48546
Workaround:        Disable multimedia filter
CVE identifier:    CVE-2015-0217
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48546

==============================================================================
MSA-15-0008: Forced logout through Shibboleth authentication plugin

Description:       It was possible to forge a request to logout users even
                   when not authenticated through Shibboleth
Issue summary:     Forced logout via auth/shibboleth/logout.php
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.1, 2.7 to 2.7.3, 2.6 to 2.6.6 and earlier
                   unsupported versions
Versions fixed:    2.8.2, 2.7.4 and 2.6.7
Reported by:       Petr Skoda
Issue no.:         MDL-47964
Workaround:        Deny access to file auth/shibboleth/logout.php in webserver
                   configuration
CVE identifier:    CVE-2015-0218
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-47964

==============================================================================