miércoles, 4 de febrero de 2015

Moodle 2.8.3, 2.7.5 y 2.6.8 están ahora disponibles

Moodle 2.8.3, 2.7.5 y 2.6.8 están ahora disponibles (desbloqueo de emergencia)

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con las nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.
Estoy escribiendo hoy para hacerle saber que Moodle 2.8.3, 2.7.5 y 2.6.8 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git. La semana pasada un problema de seguridad crítico se informó en Moodle y hemos tomado la decisión de hacer una apertura de emergencia.
Tenga en cuenta que la rama 2.6 es ahora compatible únicamente con parches de seguridad. Este comunicado de emergencia no cambia el calendario de lanzamientos normal y el próximo lanzamiento menor será como se previó en el segundo lunes de marzo.
Notas de publicación están disponibles para cada nueva versión.

Cuestiones de seguridad

Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulido, hay un problema de seguridad crítico que usted debe tener en cuenta. Los detalles de este problema de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en https://moodle.org/security en una semana.
Para evitar dejar su sitio vulnerable, le recomendamos que actualice los sitios a la última versión de Moodle tan pronto como sea posible.
Esta vulnerabilidad está presente en todas las versiones a partir de Moodle 2.3. En las versiones 2.3.x y 2.4.x sólo puede ser explotado en servidores Windows, a partir de Moodle 2.5 que puede ser explotado en servidores con cualquier sistema operativo. Si usted recibe cualquiera de las versiones no compatibles o no puede actualizar una versión compatible de inmediato se debe aplicar la revisión manualmente para proteger su servidor. También como una solución temporal al servidor web se puede configurar para impedir el acceso a URLs que contienen "../" o "..", aunque no se recomienda utilizarlo como una solución permanente.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Gerente de Desarrollo de Procesos, HQ Moodle 
================================================== ============================
MSA-15-0009: Directorio Ataque Transversal posible a través de algunos archivos que sirven JS

Descripción: Parámetro "archivo" se pasa a los scripts que sirven JS no era
                   siempre limpiado de la inclusión de "../" en el camino, lo que permite
                   Para leer los archivos situados fuera del directorio moodle. Todos los SO
                   están afectados pero especialmente vulnerables son los servidores de Windows
Resumen Edición: PreAuthenticated Divulgación archivo local
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.2, 2.7 y 2.7.4, 2.6 a 2.6.7 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.3, 2.7.5 y 2.6.8
Reportado por: Emiel Florijn
Emitir no .: MDL-48980 y MDL-48990
Solución: Prohibir el acceso a las URL con "../" o ".." en la web
                   configuración del servidor
CVE identificador: CVE-2015-0246
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48980

================================================== ============================

Moodle 2.8.3, 2.7.5 and 2.6.8 are now available (emergency release)


This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.8.3, 2.7.5 and 2.6.8 are available via the usual open download channels: https://download.moodle.org or Git. Last week a critical security issue was reported in Moodle and we have made a decision to make an emergency release.
Note that the 2.6 branch is now supported for security fixes only. This emergency release does not shift the normal release schedule and the next minor release will happen as planned on the second Monday of March.
Release notes are available for each new version.

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there is a critical security issue you should be aware of. Details of this security issue are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can.
This vulnerability is present in all Moodle versions starting from 2.3. On versions 2.3.x and 2.4.x it can only be exploited on Windows servers, starting from Moodle 2.5 it can be exploited on servers with any operating system. If you host any of unsupported versions or can not upgrade a supported version straight away you should apply the fix manually to protect your server. Also as a temporary workaround the webserver can be configured to prevent access to URLs containing "../" or "..", although we do not recommend to use it as a permanent solution.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
==============================================================================
MSA-15-0009: Directory Traversal Attack possible through some files serving JS

Description:       Parameter "file" passed to scripts serving JS was not
                   always cleaned from including "../" in the path, allowing
                   to read files located outside of moodle directory. All OS
                   are affected but especially vulnerable are Windows servers
Issue summary:     Preauthenticated Local File Disclosure
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.2, 2.7 to 2.7.4, 2.6 to 2.6.7 and earlier
                   unsupported versions
Versions fixed:    2.8.3, 2.7.5 and 2.6.8
Reported by:       Emiel Florijn
Issue no.:         MDL-48980 and MDL-48990
Workaround:        Prevent access to URLs containing "../" or ".." in web
                   server configuration
CVE identifier:    CVE-2015-0246
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48980

==============================================================================
Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

LinkWithin

Related Posts Plugin for WordPress, Blogger...