Un mensaje para registrados Administradores de Moodle
Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.Estoy escribiendo hoy para hacerle saber que Moodle 2.9.3, 2.8.9 y 2.7.11 están disponibles a través de los canales habituales de descarga abierta: http://download.moodle.org o Git. Moodle 3.0 será lanzado el 16 de noviembre.
Tenga en cuenta que la rama 2.8 es ahora compatible sólo para correcciones de seguridad hasta mayo 2016.
Notas de la versión están disponibles para cada nueva versión.
Problemas de seguridad
Además de una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que los publiquemos más ampliamente en http://moodle.org/security en una semana. Usted será capaz de encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, entonces por favor consulte la lista siguiente cuidadosamente y remendar su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle
================================================== ============================ MSA-15-0037: Posibilidad de enviar un mensaje a un usuario que bloquea los mensajes de no contactos Descripción: ajustes insuficientes comprobar cuando mensajería otro usuario abre la posibilidad de spam Resumen Problema: los usuarios que no están en la lista de contactos todavía puede enviar mensajes a pesar de que se bloquea en las preferencias Severidad / Riesgo: Menor Versiones afectadas: 2.9 a 2.9.2 Versiones fijas: 2.9.3 Reportado por: Pavel Sokolov Emitir no .: MDL-50426 CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-50426 ============================== ==================== ============================ MSA-15 hasta 0038: DDoS posibilidad en Atto Descripción: Si el acceso para invitados está abierto en el sitio, usuario no autenticado puede crear un ataque DDos a través del área de guardado automático editor Resumen Problema: Los huéspedes pueden explotar proyecto atto para almacenar contenido Severidad / Riesgo: Graves Versiones afectadas: 2.9 a 2.9.2 y 2.8 a 2.8.8 Versiones fijas: 2.9.3 y 2.8.9 Reportado por: Frédéric Massart Emitir no .: MDL-51000 Solución: Desactive el acceso de invitados hasta que se aplique la revisión CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51000 ============================== ==================== ============================ MSA-15-0039: CSRF en forma de registro en el sitio Descripción: El atacante puede enviar admin un enlace al formulario de registro en el sitio que mostrará la URL correcta, pero, si se presenta, voluntad registrarse con otro hub Resumen Problema: Es posible engañar a un sitio / admin en total enviar Estadísticas a un dominio arbitrario Severidad / Riesgo: Menor Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores versiones sin soporte Versiones fijas: 2.9.3, 2.8.9 y 2.7.11 Reportado por: Andrew Davis Emitir no .: MDL-51091 CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51091 ============================== ==================== ============================ MSA-15 hasta 0.040: XSS Estudiante en encuesta Descripción: módulo de encuesta estándar es vulnerable al ataque de XSS los estudiantes que llenan la encuesta Resumen Edición: XSS Estudiante en encuesta Severidad / Riesgo: Menor Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores versiones sin soporte Versiones fijas: 2.9.3, 2.8.9 y 2.7.11 Reportado por: Hugh Davenport Emitir no .: MDL-49940 CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49940 ============================== ==================== ============================ MSA-15-0.041: XSS en el reproductor de vídeo flash Descripción: vulnerabilidad XSS causada por Flowplayer Flash Video Player se ha tratado Resumen Edición: Flowplayer reflejada XSS Severidad / Riesgo: Graves Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores versiones sin soporte Versiones fijas: Debe fijar para 3.0 Reportado por: Andrew Nicols Emitir no .: MDL-48085 Solución: Utilice la versión HTML5 del jugador en ajustes del filtro de los medios CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48085 ============================== ==================== ============================ MSA-15 hasta 0042: CSRF en formulario de acceso lección Descripción: Los módulos de lecciones protegidos con contraseña están sujetas a CSRF vulnerabilidad Resumen Edición: CSRF en formulario de acceso lección Severidad / Riesgo: Menor Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores versiones sin soporte Versiones fijas: 2.9.3, 2.8.9 y 2.7.11 Reportado por: Ankit Agarwal Emitir no .: MDL-48109 CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48109 ============================== ==================== ============================ MSA-15-0043: core_enrol_get_enrolled_users de servicios Web no respeta curso el modo de grupo Descripción: A través de core_enrol_get_enrolled_users WS es posible recuperar la lista de participantes del curso que no sería cuando sean visibles utilizando el sitio web Resumen Edición: core_enrol_get_enrolled_users devuelve todos los participantes, incluso con grupos separados Severidad / Riesgo: Menor Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores versiones sin soporte Versiones fijas: 2.9.3, 2.8.9 y 2.7.11 Reportado por: Daniel Palou Emitir no .: MDL-51,861 CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51861 ============================== ==================== ============================ MSA-15 hasta 0044: Capacidad para ver insignias disponibles no se respeta Descripción: Los usuarios conectados que no tienen la capacidad de "ver si estará disponible insignias sin ganar ellos "aún pueden acceder a la lista completa de insignias Resumen Edición: moodle Capacidad / insignias: viewbadges no se respeta Severidad / Riesgo: Menor Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores versiones sin soporte Versiones fijas: 2.9.3, 2.8.9 y 2.7.11 Reportado por: Marina Glancy Emitir no .: MDL-51684 CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51684 ============================== ==================== ============================ MSA-15-0045: módulo SCORM permite eludir las restricciones de acceso basado en la fecha Descripción: incorrecta y desaparecidos manejo de fechas de disponibilidad en mod_scorm permiten a los usuarios ver el contenido SCORM eludiendo la restricción de fecha Resumen Edición: incorrecta y desaparecidos manejo de fechas de disponibilidad en mod_scorm permiten a los usuarios ver el contenido SCORM eludiendo la restricción de fecha Severidad / Riesgo: Menor Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores versiones sin soporte Versiones fijas: 2.9.3, 2.8.9 y 2.7.11 Reportado por: Juan Leyva Emitir no .: MDL-50837 CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-50837 ============================== ==================== ============================ MSA-15-0046: fecha de cierre del módulo elección se puede omitir Descripción: Los usuarios pueden burlarse de URL para borrar o enviar nuevas respuestas después el módulo de opción estaba cerrado Resumen Problema: Los usuarios pueden borrar y enviar nuevas respuestas, incluso cuando el elección está cerrada Severidad / Riesgo: Menor Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores versiones sin soporte Versiones fijas: 2.9.3, 2.8.9 y 2.7.11 Reportado por: Juan Leyva Emitir no .: MDL-51569 CVE identificador: En espera Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51569 ============================== ==================== ============================
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 2.9.3, 2.8.9 and 2.7.11 are available via the usual open download channels: http://download.moodle.org or Git. Moodle 3.0 will be released on 16 November.
Note that the 2.8 branch is now supported only for security fixes until May 2016.
Release notes are available for each new version.
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on http://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
============================================================ ================== MSA-15-0037: Possible to send a message to a user who blocked messages from non contacts Description: Insufficient settings check when messaging another user opens spam possibility Issue summary: Users who are not in contact list still can send messages though it is blocked in preferences Severity/Risk: Minor Versions affected: 2.9 to 2.9.2 Versions fixed: 2.9.3 Reported by: Pavel Sokolov Issue no.: MDL-50426 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-50426 ============================== ============================== ================== MSA-15-0038: DDoS possibility in Atto Description: If guest access is open on the site, unauthenticated user can create a DDos attack through editor autosave area Issue summary: Guests can exploit atto draft to store content Severity/Risk: Serious Versions affected: 2.9 to 2.9.2 and 2.8 to 2.8.8 Versions fixed: 2.9.3 and 2.8.9 Reported by: Frédéric Massart Issue no.: MDL-51000 Workaround: Disable guest access until the fix is applied CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51000 ============================== ============================== ================== MSA-15-0039: CSRF in site registration form Description: Attacker can send admin a link to site registration form that will display correct URL but, if submitted, will register with another hub Issue summary: It is possible to trick a site/admin into sending aggregate stats to an arbitrary domain Severity/Risk: Minor Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier unsupported versions Versions fixed: 2.9.3, 2.8.9 and 2.7.11 Reported by: Andrew Davis Issue no.: MDL-51091 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51091 ============================== ============================== ================== MSA-15-0040: Student XSS in survey Description: Standard survey module is vulnerable to XSS attack by students who fill the survey Issue summary: Student XSS in survey Severity/Risk: Minor Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier unsupported versions Versions fixed: 2.9.3, 2.8.9 and 2.7.11 Reported by: Hugh Davenport Issue no.: MDL-49940 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49940 ============================== ============================== ================== MSA-15-0041: XSS in flash video player Description: XSS vulnerability caused by Flowplayer flash video player has been addressed Issue summary: Flowplayer Reflected XSS Severity/Risk: Serious Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier unsupported versions Versions fixed: Must fix for 3.0 Reported by: Andrew Nicols Issue no.: MDL-48085 Workaround: Use HTML5 version of the player in media filter settings CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48085 ============================== ============================== ================== MSA-15-0042: CSRF in lesson login form Description: Password-protected lesson modules are subject to CSRF vulnerability Issue summary: CSRF in lesson login form Severity/Risk: Minor Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier unsupported versions Versions fixed: 2.9.3, 2.8.9 and 2.7.11 Reported by: Ankit Agarwal Issue no.: MDL-48109 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48109 ============================== ============================== ================== MSA-15-0043: Web service core_enrol_get_enrolled_users does not respect course group mode Description: Through WS core_enrol_get_enrolled_users it is possible to retrieve list of course participants who would not be visible when using web site Issue summary: core_enrol_get_enrolled_users returns all participants even with separate groups Severity/Risk: Minor Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier unsupported versions Versions fixed: 2.9.3, 2.8.9 and 2.7.11 Reported by: Daniel Palou Issue no.: MDL-51861 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51861 ============================== ============================== ================== MSA-15-0044: Capability to view available badges is not respected Description: Logged in users who do not have capability 'View available badges without earning them' can still access the full list of badges Issue summary: Capability moodle/badges:viewbadges is not respected Severity/Risk: Minor Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier unsupported versions Versions fixed: 2.9.3, 2.8.9 and 2.7.11 Reported by: Marina Glancy Issue no.: MDL-51684 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51684 ============================== ============================== ================== MSA-15-0045: SCORM module allows to bypass access restrictions based on date Description: Incorrect and missing handling of availability dates in mod_scorm let users to view the SCORM contents bypassing the date restriction Issue summary: Incorrect and missing handling of availability dates in mod_scorm let users to view the SCORM contents bypassing the date restriction Severity/Risk: Minor Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier unsupported versions Versions fixed: 2.9.3, 2.8.9 and 2.7.11 Reported by: Juan Leyva Issue no.: MDL-50837 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-50837 ============================== ============================== ================== MSA-15-0046: Choice module closing date can be bypassed Description: Users can mock URL to delete or submit new responses after the choice module was closed Issue summary: Users can delete and submit new responses even when the choice is closed Severity/Risk: Minor Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier unsupported versions Versions fixed: 2.9.3, 2.8.9 and 2.7.11 Reported by: Juan Leyva Issue no.: MDL-51569 CVE identifier: Pending Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-51569 ============================== ============================== ==================
No hay comentarios:
Publicar un comentario