Un mensaje para los administradores de Moodle registrados
Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este mensaje porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no serán leídos.Estoy escribiendo hoy para hacerle saber que Moodle 3.4, 3.3.3, 3.2.6 y 3.1.9 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.
- Moodle notas 3.4 liberación
- Moodle 3.3.3 notas de la versión
- Moodle 3.2.6 notas de la versión
- Moodle 3.1.9 notas de la versión
Temas de seguridad
Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que los hayamos publicado más ampliamente en https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle
================================================== ============================ MSA-17 a 0021: Los estudiantes pueden encontrar direcciones de correo electrónico de otros estudiantes en el mismo curso Descripción: Uso de la búsqueda en los estudiantes participantes página podría buscar direcciones de correo electrónico de todos los participantes, independientemente de correo electrónico visibilidad. Esto permite a enumerar y mensajes de correo electrónico de la conjetura otros estudiantes Resumen tema: Los estudiantes pueden encontrar direcciones de correo electrónico de otros estudiantes que establecer los suyos a "oculto" Severidad / Riesgo: Menor Las versiones afectadas: 3.3 a 3.3.2, 3.2.5 a 3.2, 3.1 a 3.1.8 y anteriores versiones no soportadas Versiones fijas: 3.4, 3.3.3, 3.2.6 y 3.1.9 Informado por: Tim Schroeder Emitir no .: MDL-60550 Solución: Prohibir la capacidad de 'moodle / course: viewparticipants' (Ver participantes) para el papel del estudiante hasta que se realice el acondicionamiento de Moodle CVE identificador: CVE-2017 hasta 15110 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-60550 ============================== ==================== ============================
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 3.4, 3.3.3, 3.2.6 and 3.1.9 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.
- Moodle 3.4 release notes
- Moodle 3.3.3 release notes
- Moodle 3.2.6 release notes
- Moodle 3.1.9 release notes
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
============================================================ ================== MSA-17-0021: Students can find out email addresses of other students in the same course Description: Using search on Participants page students could search email addresses of all participants regardless of email visibility. This allows to enumerate and guess emails of other students Issue summary: Students can find out email addresses of other students who set theirs to "hidden" Severity/Risk: Minor Versions affected: 3.3 to 3.3.2, 3.2 to 3.2.5, 3.1 to 3.1.8 and earlier unsupported versions Versions fixed: 3.4, 3.3.3, 3.2.6 and 3.1.9 Reported by: Tim Schroeder Issue no.: MDL-60550 Workaround: Prohibit capability 'moodle/course:viewparticipant s' (View participants) for Student role until Moodle is upgraded CVE identifier: CVE-2017-15110 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-60550 ============================== ============================== ==================
No hay comentarios:
Publicar un comentario