lunes, 23 de marzo de 2015

Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles

Moodle 2.8.5, 2.7.7 and 2.6.10 are now available (Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles)


Un mensaje para registrados administradores de Moodle

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.
Estoy escribiendo hoy para hacerle saber que Moodle 2.8.5, 2.7.7 y 2.6.10 están disponibles a través de los canales habituales de descarga abierta: o Git. Este lanzamiento sigue inmediatamente la liberación de 2.8.4, 2.7.6 y 2.6.9, que contenía una regresión de última hora que fue capturado después de que el embalaje.
Tenga en cuenta que la rama 2.6 es ahora compatible únicamente con parches de seguridad.
Notas de publicación están disponibles para cada nueva versión.

Cuestiones de seguridad

Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulido, hay seis temas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en en una semana.
Para evitar dejar su sitio vulnerable, le recomendamos que actualice los sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, consulte la siguiente lista con cuidado y remendar su propio sistema o apagar esas características.


Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Gerente de Desarrollo de Procesos, HQ Moodle
================================================== ============================
MSA-15-0010: Los contactos personales y el número de mensajes no leídos pueden ser reveladas

Descripción: Al modificar una URL conectado el usuario puede ver la lista de
                   contactos de otro usuario, número de mensajes no leídos y lista
                   de sus cursos.
Resumen Problema: Los contactos personales y el número de mensajes no leídos pueden ser
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Barry Oosthuizen
Emitir no .: MDL-49204
Solución: Desactivar la mensajería en el sitio
CVE identificador: CVE-2015-2266
Cambios (maestro):

================================================== ============================
MSA-15-0011: Autenticación en mdeploy se puede omitir

Descripción: Teóricamente posible extraer los archivos en cualquier lugar de la
                   sistema en el que el servidor web tiene acceso de escritura. Aunque
                   es bastante difícil de explotar desde atacante debe de usuario
                   conocer detalles sobre el sistema y ya tienen significativa
                   permisos en el sitio.
Resumen Edición: Autenticación en mdeploy se puede omitir
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Frédéric Massart
Emitir no .: MDL-49087
Solución: Elimine el mdeploy.php archivo o impedir el acceso a ella en el
                   configuración del servidor web
CVE identificador: CVE-2015-2267
Cambios (maestro):

================================================== ============================
MSA-15-0012: Redos Posible con enlaces filtro Convertir URLs

Descripción: expresión regular no es óptima en el filtro podría ser
                   explotado para crear carga del servidor adicional o hacer especial
                   La página no está disponible
Resumen Edición: Redos Posible con enlaces filtro Convertir URLs
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Rob
Emitir no .: MDL-38466
Solución: Desactivar enlaces a filtro de URLs
CVE identificador: CVE-2015-2268
Cambios (maestro):

================================================== ============================
MSA-15-0013: título del bloque no escapó correctamente y puede causar la inyección HTML

Descripción: Es posible crear inyección HTML a través de bloques con
                   títulos configurables, sin embargo, esto sólo podían ser explotados
                   los usuarios que ya están marcados como XSS de confianza-
Resumen Edición: Título del bloque no escapó correctamente y puede causar HTML
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Gjoko Krstic
Emitir no .: MDL-49144
CVE identificador: CVE-2015-2269
Cambios (maestro):

================================================== ============================
MSA-15-0014: El potencial de divulgación de información para los cursos de difícil acceso

Descripción: Para los temas personalizados que utilizan bloques de regiones en la base
                   layout los bloques para los cursos podrían ser inaccesibles
                   aparece junto con el curso relacionada sensata
                   información. La mayoría de los temas, incluyendo todos los estándares
                   Temas de Moodle, no se ven afectados.
Resumen Edición: usuario invitado puede ver la información del curso que no deben ser
                   poder a través require_login
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Sam Hemelryk
Emitir no .: MDL-48804
CVE identificador: CVE-2015-2270
Cambios (maestro):

================================================== ============================
MSA-15-0015: El usuario sin el permiso adecuado es capaz de marcar la etiqueta como

Descripción: Caso muy menor de la capacidad de no respetar, no lo hace
                   afectar mayoría de los sitios desde esta capacidad se da a
                   los usuarios autenticados por defecto
Resumen Edición: Capacidad moodle / tag: bandera no observó
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Frédéric Massart
Emitir no .: MDL-49084
CVE identificador: CVE-2015-2271
Cambios (maestro):

================================================== ============================
MSA-15-0016: servicios Web testigo puede ser creado por el usuario con temporal

Descripción: Incluso cuando la contraseña del usuario se ve obligado a cambiar el inicio de sesión,
                   usuario todavía podría usarla para la autenticación con el fin de
                   crear el servicio web token y, por tanto, extender la vida
                   de la contraseña temporal a través de servicios web.
Resumen Edición: login / token.php no comprueba si auth_forcepasswordchange
                   está en para el usuario
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Juan Leyva
Emitir no .: MDL-48691
CVE identificador: CVE-2015-2272
Cambios (maestro):

================================================== ============================
MSA-15-0017: XSS en el informe de estadísticas de concursos

Descripción: Concurso informe de estadísticas no escapó correctamente estudiante
                   respuestas y podrían utilizarse para el ataque XSS
Resumen Edición: XSS en el informe de estadísticas de concursos
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Tim Hunt
Emitir no .: MDL-49364
CVE identificador: CVE-2015-2273
Cambios (maestro):

================================================== ============================ 

---------- Forwarded message ----------
From: Moodle Security Alerts <>
Date: 2015-03-10 3:39 GMT+01:00
Subject: Moodle 2.8.5, 2.7.7 and 2.6.10 are now available

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.8.5, 2.7.7 and 2.6.10 are available via the usual open download channels: or Git. This release immediately follows the release of 2.8.4, 2.7.6 and 2.6.9 which contained a last-minute regression that was caught after the packaging.
Note that the 2.6 branch is now supported for security fixes only.
Release notes are available for each new version.

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are six security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.


Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
MSA-15-0010: Personal contacts and number of unread messages can be revealed

Description:       By modifying URL a logged in user can view the list of
                   another user's contacts, number of unread messages and list
                   of their courses.
Issue summary:     Personal contacts and number of unread messages can be
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Barry Oosthuizen
Issue no.:         MDL-49204
Workaround:        Disable messaging on site
CVE identifier:    CVE-2015-2266
Changes (master):

MSA-15-0011: Authentication in mdeploy can be bypassed

Description:       Theoretically possible to extract files anywhere on the
                   system where the web server has write access. Although it
                   is quite difficult to exploit since attacking user must
                   know details about the system and already have significant
                   permissions on the site.
Issue summary:     Authentication in mdeploy can be bypassed
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Frédéric Massart
Issue no.:         MDL-49087
Workaround:        Delete the file mdeploy.php or prevent access to it in the
                   web server config
CVE identifier:    CVE-2015-2267
Changes (master):

MSA-15-0012: ReDoS Possible with Convert links to URLs filter

Description:       Not optimal regular expression in the filter could be
                   exploited to create extra server load or make particular
                   page unavailable
Issue summary:     ReDoS Possible with Convert links to URLs filter
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Rob
Issue no.:         MDL-38466
Workaround:        Disable links to URLs filter
CVE identifier:    CVE-2015-2268
Changes (master):

MSA-15-0013: Block title not properly escaped and may cause HTML injection

Description:       It is possible to create HTML injection through blocks with
                   configurable titles, however this could only be exploited
                   by users who are already marked as XSS-trusted
Issue summary:     Block title not properly escaped and may cause HTML
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Gjoko Krstic
Issue no.:         MDL-49144
CVE identifier:    CVE-2015-2269
Changes (master):

MSA-15-0014: Potential information disclosure for the inaccessible courses

Description:       For the custom themes that use blocks regions in the base
                   layout the blocks for inaccessible courses could be
                   displayed together with sensible course-related
                   information. Majority of the themes, including all standard
                   Moodle themes, are not affected.
Issue summary:     Guest user can see course information they should not be
                   able to via require_login
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Sam Hemelryk
Issue no.:         MDL-48804
CVE identifier:    CVE-2015-2270
Changes (master):

MSA-15-0015: User without proper permission is able to mark the tag as

Description:       Very minor case of not respecting capability, it does not
                   affect majority of sites since this capability is given to
                   authenticated users by default
Issue summary:     Capability moodle/tag:flag not observed
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Frédéric Massart
Issue no.:         MDL-49084
CVE identifier:    CVE-2015-2271
Changes (master):

MSA-15-0016: Web services token can be created for user with temporary

Description:       Even when user's password is forced to be changed on login,
                   user could still use it for authentication in order to
                   create the web service token and therefore extend the life
                   of the temporary password via web services.
Issue summary:     login/token.php does not check if auth_forcepasswordchange
                   is on for the user
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Juan Leyva
Issue no.:         MDL-48691
CVE identifier:    CVE-2015-2272
Changes (master):

MSA-15-0017: XSS in quiz statistics report

Description:       Quiz statistics report did not properly escape student
                   responses and could be used for XSS attack
Issue summary:     XSS in quiz statistics report
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Tim Hunt
Issue no.:         MDL-49364
CVE identifier:    CVE-2015-2273
Changes (master):


A ver que depara esta alianza y que novedades van surgiendo.

Y hasta aquí esta entrada sobre Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles





Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Estas utilizando moodle como administrador? ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos. Hasta el próximo artículo...

¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...

No hay comentarios:

Publicar un comentario


Related Posts Plugin for WordPress, Blogger...