Los autores del libro de aplicaciones web aprovechamos para desearos:
Felices Fiestas y que tengamos un muy buen año 2012
Os dejo con la felicitación del equipo de eyeOS
También con la felicitación del equipo de Tuenti
Y de regalo las novedades de twitter desde su propio canal en youtube
Esperamos en breve volver a publicar más entrada, hemos tenido un comienzo de curso muy movido y sin tiempo para blogs...
martes, 27 de diciembre de 2011
miércoles, 26 de octubre de 2011
[AW-U1-CP11] Instalación de un servidor eyeOS 2.5
Me imagino que estaréis acabando de impartir la unidad 1, sino lo habéis hecho ya a estas alturas, gracias a las consultas del compañero Miguel R. de Torrent (Valencia) desde el equipo preventas de eyeOS (ya os hablamos de sus creadores en una entrada anterior Jóvenes extraordinarios: Creadores de eyeOS)
nos han reportado los siguientes comentarios para poder realizar el caso práctico 11 de la página 37-38.
nos han reportado los siguientes comentarios para poder realizar el caso práctico 11 de la página 37-38.
No debería existir ningún problema sobre Ubuntu 10 y el stack LAMP de Bitnami. De cualquier modo, te remito a una explicación detallada del proceso de instalación en el blog de uno de nuestros administradores de sistemas:
Aunque veas que habla de eyeOS 2.4 y Debian 6 en el título las instrucciones son exactamente las mismas para eyeOS 2.5 sobre Ubuntu. Sólo cambiará la última parte, que en lugar de "eyeos-2.4.tar.gz" será el archivo comprimido (eyeos-2.5.tar.gz) que te descargarás de aquí: http://sourceforge.net/ projects/eyeos/files/eyeos2/ eyeos-2.5.tar.gz/download
Esperamos que siguiendo estas indicaciones, también consigáis instalar en local sobre el LAMP de bitnami el eyeOs.
Por otro lado, hemos contactado directamente con un directivo para ver la posibilidad de tener empaquetado y preconfigurado dentro de un modulo de bitnami, a lo que nos han contestado que lo estudiaran. Ya que en estos momentos están trabajando con la última versión Open Source la 2.5 y su siguiente evolución que es la Professional Edition a la que se puede acceder por professional.eyeos.org. Nos animan a que lo probemos también.
En el blog de eyeOs anuncian eyeOS Professional Edition, una solución para empresas que pretende facilitar la vida del administrador del sistema mediante el desarrollo de un software con potentes herramientas de administración y un completo conjunto de conectores para integrarse con el entorno de IT de la compañía, integrando SaaS existentes, aplicaciones legacy virtualizadas o otras apps in-house servidas como servicios web.
En lo que a novedades se refiere anuncian:
Podéis obtener más información en blog.eyeos.org
Por último, comentaros que dentro de un programa de Comando Actulidad de RTVE, se emiten 7 minutos donde se explica como ha surgido y como ha evoluacionado eyeOS en estos años, os recomiendo que os lo mireis y se lo pongais a vuestros alumnos en clase.
En lo que a novedades se refiere anuncian:
eyeRun: ejecuta los archivos guardados en la nube con aplicacions locales (p.e. Office, Photoshop, etc.)Un muy importante paso para este proyecto que apuesta por el código libre, habiendo ayudado a muchos a integrar su negocio en la nube.
eyeSync: sincroniza los archivos entre la nube y el dispositivo local para poder trabajar fuera de conexión
Mobile: trabaja con eyeOS desde cualquier dispositivo móvil
Compartición de archivos: Trabaja de forma colaborativa con usuarios de la plataforma o comparte archivos fuera de ella mediante URL
Virtual Appliance: trabaja con un paquete que incluye todo el entorno necesario para hacer funcionar eyeOS en un entorno de virtualización
Admin Panel: intuitivo y fácil de usar para beneficiar el trabajo de gestión de usuarios del Administrador de Sistemas
Active directory connectivity/LDAP: Para una perfecta integración con el directorio de la empresa
Chat de grupos: habla dentro de eyeOS con otros usuarios
Calendario colaborativo: comparte el calendario con los compañeros de trabajo
Podéis obtener más información en blog.eyeos.org
Por último, comentaros que dentro de un programa de Comando Actulidad de RTVE, se emiten 7 minutos donde se explica como ha surgido y como ha evoluacionado eyeOS en estos años, os recomiendo que os lo mireis y se lo pongais a vuestros alumnos en clase.
Vivir y trabajar en eyeOS
miércoles, 12 de octubre de 2011
URGENTE: Moodle 2.1.2, Moodle 2.0.5 y 1.9.14 Moodle ya están disponibles
(URGENTE: Moodle 2.1.2, Moodle 2.0.5 y 1.9.14 Moodle ya están disponible s.): [securitya lerts] URGENT: Moodle 2.1.2, Moodle 2.0.5 and Moodle 1.9.14 are now available.
Hola Administradores de Moodle registrados!
(Este correo electrónico está saliendo a más de 75.000 administradores de Moodle registrados. Usted
Recibes este mensaje porque usted pidió para Moodle noticias sobre seguridad
cuando se registró un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico
a continuación, ver el final de este e-mail para información acerca de darse de baja)
Estoy escribiendo hoy en día para hacerle saber que Moodle 2.1.2, 2.0.5, 1.9.14 y se
disponible a través de los canales habituales de descarga abierta
( http://download.moodle.org , CVS o Git).
La notas de la versión completa está aquí:
* http://docs.moodle.org/dev/ Moodle_2.1.2_release_notes
* http://docs.moodle.org/dev/ Moodle_2.0.5_release_notes
* http://docs.moodle.org/dev/ Moodle_1.9.14_release_notes
CUESTIONES DE SEGURIDAD
Así como una larga lista de correcciones de errores, mejoras de rendimiento y
pulido, hay 15 problemas de seguridad que debe tener en cuenta.
Como administrador de Moodle registrados que le estamos dando aviso previo de estas
problemas para que tenga tiempo para corregirlos antes de su publicación más
ampliamente en http://moodle.org/security y difundirlos.
Para evitar dejar su sitio vulnerable es muy recomendable actualizar
sus sitios a la última versión de Moodle, tan pronto como sea posible.
Si no se puede actualizar, por favor consulte la siguiente lista con cuidado y
parche de su propio sistema o desactivar estas características.
Gracias como siempre a todos los involucrados en la información y de fijación de seguridad
problemas por todo su trabajo duro. Realmente es un esfuerzo de equipo y un
con más y más personas involucradas en todo momento.
Saludos y gracias por usar Moodle!
==============================
MSA-11-0018: Wiki páginas de referencia cuestión falsificación
Tema: CSRF en varios lugares
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28724
Solución: actualizar a la última versión
Descripción:
Esta vulnerabilidad permite la falsificación de referencias cruzadas sitio dentro de los enlaces
en la Wiki.
==============================
MSA-11-0019: Wiki comentarios cross site scripting tema
Tema: XSS en los comentarios de Wiki
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28726
Solución: actualizar a la última versión
Descripción:
El resultado de analizadores wiki no estaba limpia, lo que podría ser descubierto
y explotados, especialmente cuando se combina con CSRF
==============================
MSA-11-0020: Archivo problema de visibilidad
Tema: Servidor de archivos muestra todas las categorías y cursos, incluso
si un usuario no tiene acceso a ellos
Gravedad / riesgo: menor
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Ralf Hilgenstock
El n °:. MDL-27586
Solución: actualizar a la última versión
Descripción:
En los archivos del servidor, las áreas de categoría y por supuesto se está mostrando a
los usuarios que no tienen permiso para acceder a ellos
==============================
MSA-11-0021: repositorio de integración Box.net problema de autenticación
Tema: repositorio de Box.net tiene fallas de seguridad
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Alex Willen
El n °:. MDL-27289
Solución: actualizar a la última versión
Solución: Desactive el repositorio de Box.net
Descripción:
El plugin Box.net Box.net fue creado antes que lanzó un OAuth-como
autenticación, el cual requiere que el usuario introduzca su nombre de usuario y
contraseña en el sitio de moodle.
==============================
MSA-11-0022: Formas API constante problema
Tema: $ mform-> setConstant () no funciona como se esperaba
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5, <01/09/14
Reportado por: David Mudrak
El n °:. MDL-23872
Solución: actualizar a la última versión
Descripción:
Los valores de forma que se configuran como constantes pudieron ser alterados por los usuarios
cuando el formulario se envió
==============================
MSA-11-0023: MNET problema de validación SSL
Tema: El manejo incorrecto de openssl_verify () el código de retorno
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5, <01/09/14
Reportado por: David Mudrak
El n °:. MDL-29148
Solución: actualizar a la última versión
Solución: Desactive MNET
Descripción:
Moodle no es el manejo de estos códigos de retorno SSL correctamente y se
vulnerables a los ataques a distancia sin pasar por la validación.
==============================
MSA-11-0024: Sitio-centro de inscripción cuestión de la identidad
Tema: La columna se registration_hubs.secret diferentes
valor predeterminado para la actualización frente a instalar
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Colin Campbell
El n °:. MDL-27635
Solución: actualizar a la última versión
Solución: No utilice los centros de la comunidad
Descripción:
Sobre la instalación de un valor de secreto de los sitios de los centros no se está estableciendo.
==============================
MSA-11-0025: módulo de chat de fugas de información
Tema: Chat a conocer los nombres completos de todos los usuarios del sistema
incluidos los usuarios eliminados
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-27219
Solución: actualizar a la última versión
Solución: No utilice Chat en vivo
Descripción:
Los usuarios del chat podría sondear los nombres de los "usuarios beep'ing su ID de usuario
==============================
MSA-11-0026: Cookie-menos vulnerabilidad de la sesión
Tema: prevenir $ CFG-> usesid porque los hackers tratan de explotar
Gravedad / riesgo: menor
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x también podrían ser vulnerables si
mal configurado)
Reportado por: Petr Škoda
El n °:. MDL-29312
Solución: actualizar a la última versión
Solución: no usar menos de galletas sesiones
Descripción:
Los $ CFG-> usesid agregado previamente para permitir un acceso más sencillo, pero
este ajuste es ahora ignorado para eliminar una vulnerabilidad potencial
==============================
MSA-11-0027: actualización de la vulnerabilidad de mensajería
Tema: sistema de mensajes refrescante puede causar ilimitada
consultas y el ataque DDos
Gravedad / riesgo: grave
Versiones afectadas: <01/09/14 (2.x no se ve afectada)
Reportado por: Xavier Paz
El n °:. MDL-29311
Solución: actualizar a 1.9.14
Solución: aplicar el parche proporcionado
Descripción:
Los usuarios podrían cambiar el parámetro de espera de mensaje / refresh.php a cero
para causar una denegación de servicio.
==============================
MSA-11-0028: Curso de edición de la sección de inyección de vulnerabilidad
Tema: Potencial XSS: los valores de impresión editsection.html
directamente desde data_submitted ()
Gravedad / riesgo: menor
Versiones afectadas: <01/09/14 (2.x no se ve afectada)
Reportado por: Aaron Barnes
El n °:. MDL-28722
Solución: actualizar a 1.9.14
Descripción:
Curso sección datos del formulario de edición estaba siendo utilizado sin
filtrada, lo que podría ser explotada por un ataque de inyección
==============================
MSA-11-0029: la protección de bases de datos de la inyección fortalecido
Tema: Magic cita el endurecimiento de 1,9
Gravedad / riesgo: grave
Versiones afectadas: <01/09/14 (2.x no se ve afectada)
Reportado por: Petr Škoda
El n °:. MDL-29033
Solución: actualizar a 1.9.14
Descripción:
Filtrado ha sido añadido a las funciones de base de datos diferentes para evitar
amenazas imprevistas de la inyección
==============================
MSA-11-0030: vulnerabilidad de la sección Wiki
Tema: XSS a través de 'sección' del parámetro
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28725
Solución: actualizar a la última versión
Descripción:
XSS es posible a través de la "sección" de los parámetros.
==============================
MSA-11-0031: pérdida potencial de información personal
Tema: mod / forum / user.php exploses datos de los usuarios
Gravedad / riesgo: menor
Versiones afectadas: <2.1.2, <2.0.5, <01/09/14
Reportado por: Rossiani Wijaya
El n °:. MDL-28615
Solución: actualizar a la última versión
Descripción:
Nombres de los usuarios sólo se debe mostrar a otros estudiantes en el mismo
curso o para los administradores.
==============================
MSA-11-0032: problema mundial de autenticación de búsqueda
Tema: usuario invitado puede ejecutar la búsqueda mundial mediante la introducción de
URL directa
Gravedad / riesgo: menor
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Tatsuya Shirai
El n °:. MDL-19575
Solución: actualizar a la última versión
Descripción:
Después de iniciar sesión en Moodle como invitado, el usuario podría ejecutar una búsqueda global.
-
/ / / Moodle - software de código abierto para el aprendizaje colaborativo
/ / /
/ / / Software libre, comunidad, información: http://moodle.org
Servicios / / / Soporte comercial y otros: http://moodle.com
-
Usted está recibiendo este email porque se ha registrado un sitio Moodle con Moodle.org
y optó por añadir a esta lista de bajo volumen de las notificaciones de seguridad y otros
Moodle importantes anuncios relacionados con los administradores de Moodle.
Para darse de baja puede volver a registrar su sitio (como antes) y asegúrese de que
a su vez la opción de correo electrónico fuera en el formulario de inscripción. También puede enviar
un mensaje en blanco a sympa@lists.moodle.org con "securityalerts darse de baja"
como el tema (de la dirección de correo electrónico que está suscrito).
Ver http://lists.moodle.org/info/
---------- Forwarded message ----------
From: Martin Dougiamas <martin@moodle.com>
Date: 2011/10/10
Subject: [securityalerts] URGENT: Moodle 2.1.2, Moodle 2.0.5 and Moodle 1.9.14 are now available.
To: securityalerts <securityalerts@lists.moodle. org>
Hello registered Moodle Admins!
(This email is going out to over 75,000 registered Moodle admins. You
are receiving this email because you asked for Moodle security news
when you registered a Moodle site. If you don't want these emails
then see the very end of this email for info about unsubscribing)
I'm writing today to let you know that Moodle 2.1.2, 2.0.5, and 1.9.14 are
available via the usual open download channels
(http://download.moodle.org, CVS or Git).
The full release notes are here:
* http://docs.moodle.org/dev/ Moodle_2.1.2_release_notes
* http://docs.moodle.org/dev/ Moodle_2.0.5_release_notes
* http://docs.moodle.org/dev/ Moodle_1.9.14_release_notes
SECURITY ISSUES
As well as a long list of bug fixes, performance improvements and
polishing, there are 15 security issues you should be aware of.
As a registered Moodle admin we are giving you advance notice of these
issues so you have some time to fix them before we publish them more
widely on http://moodle.org/security and publicize them.
To avoid leaving your site vulnerable we highly recommend you upgrade
your sites to the latest Moodle version as soon as you can.
If you cannot upgrade then please check the following list carefully and
patch your own system or switch off those features.
Thanks as always to EVERYONE involved in reporting and fixing security
issues for all their hard work. It really is a team effort and one
with more and more people involved all the time.
Cheers and thanks for using Moodle!
============================== =================
MSA-11-0018: Wiki pages reference forgery issue
Topic: CSRF in several places
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-28724
Solution: upgrade to latest version
Description:
This vulnerability allowed cross site reference forgery within links
in the Wiki.
============================== =================
MSA-11-0019: Wiki comments cross site scripting issue
Topic: XSS in Wiki comments
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-28726
Solution: upgrade to latest version
Description:
The result of wiki parsers was not cleaned, which could be discovered
and exploited especially when combined with CSRF
============================== =================
MSA-11-0020: File visibility issue
Topic: Server files shows all categories and courses even
if a user don't have access to them
Severity/Risk: Minor
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Ralf Hilgenstock
Issue no.: MDL-27586
Solution: upgrade to latest version
Description:
In server files, the category and course areas were being shown to
users who do not have permission to access them
============================== =================
MSA-11-0021: Box.net repository integration authentication issue
Topic: Box.net repository has security flaws
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Alex Willen
Issue no.: MDL-27289
Solution: upgrade to latest version
Workaround: Disable the Box.net repository
Description:
The Box.net plugin was created before Box.net released an OAuth-like
authentication, which requires a user to enter their username and
password in moodle site.
============================== =================
MSA-11-0022: Forms API constant issue
Topic: $mform->setConstant() does not work as expected
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5, < 1.9.14
Reported by: David Mudrak
Issue no.: MDL-23872
Solution: upgrade to latest version
Description:
Form values that are set as constants were able to be altered by users
when the form was submitted
============================== =================
MSA-11-0023: MNET SSL validation issue
Topic: Incorrect handling of openssl_verify() return code
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5, < 1.9.14
Reported by: David Mudrak
Issue no.: MDL-29148
Solution: upgrade to latest version
Workaround: Disable MNET
Description:
Moodle was not handling these SSL return codes correctly and was
vulnerable to remote attacks bypassing validation.
============================== =================
MSA-11-0024: Site-hub registration identity issue
Topic: Column registration_hubs.secret gets different
default value for upgrade versus install
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Colin Campbell
Issue no.: MDL-27635
Solution: upgrade to latest version
Workaround: Do not use community hubs
Description:
On installation a sites secret value for hubs was not being set.
============================== =================
MSA-11-0025: Chat module information leak
Topic: Chat disclosed full names of all system users
including deleted users
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-27219
Solution: upgrade to latest version
Workaround: Do not use Chat
Description:
Chat users could probe users' names by 'beep'ing their user ID
============================== =================
MSA-11-0026: Cookie-less session vulnerability
Topic: prevent $CFG->usesid because hackers try to exploit it
Severity/Risk: Minor
Versions affected: < 2.1.2, < 2.0.5 (1.9.x could also be vulnerable if
misconfigured)
Reported by: Petr Škoda
Issue no.: MDL-29312
Solution: upgrade to latest version
Workaround: Don't use cookie-less sessions
Description:
The $CFG->usesid was added previously to allow simpler access, but
this setting is now ignored to remove a potential vulnerability
============================== =================
MSA-11-0027: Messaging refresh vulnerability
Topic: Message refreshing system may cause unlimited
queries and DDos attack
Severity/Risk: Serious
Versions affected: < 1.9.14 (2.x not affected)
Reported by: Xavier Paz
Issue no.: MDL-29311
Solution: upgrade to 1.9.14
Workaround: apply patch provided
Description:
Users could change the wait parameter from message/refresh.php to zero
to cause a denial of service attack.
============================== =================
MSA-11-0028: Course section editing injection vulnerability
Topic: Potential XSS: editsection.html print values
directly from data_submitted()
Severity/Risk: Minor
Versions affected: < 1.9.14 (2.x not affected)
Reported by: Aaron Barnes
Issue no.: MDL-28722
Solution: upgrade to 1.9.14
Description:
Course section editing form data was being used without being
filtered, which could be exploited by an injection attack
============================== =================
MSA-11-0029: Database injection protection strengthened
Topic: Magic quotes hardening of 1.9
Severity/Risk: Serious
Versions affected: < 1.9.14 (2.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-29033
Solution: upgrade to 1.9.14
Description:
Filtering has been added to various DB functions to avoid
unanticipated injection threats
============================== =================
MSA-11-0030: Wiki section vulnerability
Topic: XSS through 'section' parameter
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-28725
Solution: upgrade to latest version
Description:
XSS was possible through the 'section' parameter.
============================== =================
MSA-11-0031: Potential personal information leak
Topic: mod/forum/user.php exploses user details
Severity/Risk: Minor
Versions affected: < 2.1.2, < 2.0.5, < 1.9.14
Reported by: Rossiani Wijaya
Issue no.: MDL-28615
Solution: upgrade to latest version
Description:
Users' names should only be displayed to other students in the same
course or to administrators.
============================== =================
MSA-11-0032: Global search authentication issue
Topic: Guest user can execute global search by inputting
URL directly
Severity/Risk: Minor
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Tatsuya Shirai
Issue no.: MDL-19575
Solution: upgrade to latest version
Description:
After logged in to Moodle as a guest, the user could execute a Global search.
--
/// Moodle - open-source software for collaborative learning
///
/// Free software, community, information: http://moodle.org
/// Commercial support and other services: http://moodle.com
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.
To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form. You can also send
a blank email to sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).
See http://lists.moodle.org/info/ securityalerts for more.
From: Martin Dougiamas <martin@moodle.com>
Date: 2011/10/10
Subject: [securityalerts] URGENT: Moodle 2.1.2, Moodle 2.0.5 and Moodle 1.9.14 are now available.
To: securityalerts <securityalerts@lists.moodle.
Hello registered Moodle Admins!
(This email is going out to over 75,000 registered Moodle admins. You
are receiving this email because you asked for Moodle security news
when you registered a Moodle site. If you don't want these emails
then see the very end of this email for info about unsubscribing)
I'm writing today to let you know that Moodle 2.1.2, 2.0.5, and 1.9.14 are
available via the usual open download channels
(http://download.moodle.org, CVS or Git).
The full release notes are here:
* http://docs.moodle.org/dev/
* http://docs.moodle.org/dev/
* http://docs.moodle.org/dev/
SECURITY ISSUES
As well as a long list of bug fixes, performance improvements and
polishing, there are 15 security issues you should be aware of.
As a registered Moodle admin we are giving you advance notice of these
issues so you have some time to fix them before we publish them more
widely on http://moodle.org/security and publicize them.
To avoid leaving your site vulnerable we highly recommend you upgrade
your sites to the latest Moodle version as soon as you can.
If you cannot upgrade then please check the following list carefully and
patch your own system or switch off those features.
Thanks as always to EVERYONE involved in reporting and fixing security
issues for all their hard work. It really is a team effort and one
with more and more people involved all the time.
Cheers and thanks for using Moodle!
==============================
MSA-11-0018: Wiki pages reference forgery issue
Topic: CSRF in several places
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-28724
Solution: upgrade to latest version
Description:
This vulnerability allowed cross site reference forgery within links
in the Wiki.
==============================
MSA-11-0019: Wiki comments cross site scripting issue
Topic: XSS in Wiki comments
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-28726
Solution: upgrade to latest version
Description:
The result of wiki parsers was not cleaned, which could be discovered
and exploited especially when combined with CSRF
==============================
MSA-11-0020: File visibility issue
Topic: Server files shows all categories and courses even
if a user don't have access to them
Severity/Risk: Minor
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Ralf Hilgenstock
Issue no.: MDL-27586
Solution: upgrade to latest version
Description:
In server files, the category and course areas were being shown to
users who do not have permission to access them
==============================
MSA-11-0021: Box.net repository integration authentication issue
Topic: Box.net repository has security flaws
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Alex Willen
Issue no.: MDL-27289
Solution: upgrade to latest version
Workaround: Disable the Box.net repository
Description:
The Box.net plugin was created before Box.net released an OAuth-like
authentication, which requires a user to enter their username and
password in moodle site.
==============================
MSA-11-0022: Forms API constant issue
Topic: $mform->setConstant() does not work as expected
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5, < 1.9.14
Reported by: David Mudrak
Issue no.: MDL-23872
Solution: upgrade to latest version
Description:
Form values that are set as constants were able to be altered by users
when the form was submitted
==============================
MSA-11-0023: MNET SSL validation issue
Topic: Incorrect handling of openssl_verify() return code
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5, < 1.9.14
Reported by: David Mudrak
Issue no.: MDL-29148
Solution: upgrade to latest version
Workaround: Disable MNET
Description:
Moodle was not handling these SSL return codes correctly and was
vulnerable to remote attacks bypassing validation.
==============================
MSA-11-0024: Site-hub registration identity issue
Topic: Column registration_hubs.secret gets different
default value for upgrade versus install
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Colin Campbell
Issue no.: MDL-27635
Solution: upgrade to latest version
Workaround: Do not use community hubs
Description:
On installation a sites secret value for hubs was not being set.
==============================
MSA-11-0025: Chat module information leak
Topic: Chat disclosed full names of all system users
including deleted users
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-27219
Solution: upgrade to latest version
Workaround: Do not use Chat
Description:
Chat users could probe users' names by 'beep'ing their user ID
==============================
MSA-11-0026: Cookie-less session vulnerability
Topic: prevent $CFG->usesid because hackers try to exploit it
Severity/Risk: Minor
Versions affected: < 2.1.2, < 2.0.5 (1.9.x could also be vulnerable if
misconfigured)
Reported by: Petr Škoda
Issue no.: MDL-29312
Solution: upgrade to latest version
Workaround: Don't use cookie-less sessions
Description:
The $CFG->usesid was added previously to allow simpler access, but
this setting is now ignored to remove a potential vulnerability
==============================
MSA-11-0027: Messaging refresh vulnerability
Topic: Message refreshing system may cause unlimited
queries and DDos attack
Severity/Risk: Serious
Versions affected: < 1.9.14 (2.x not affected)
Reported by: Xavier Paz
Issue no.: MDL-29311
Solution: upgrade to 1.9.14
Workaround: apply patch provided
Description:
Users could change the wait parameter from message/refresh.php to zero
to cause a denial of service attack.
==============================
MSA-11-0028: Course section editing injection vulnerability
Topic: Potential XSS: editsection.html print values
directly from data_submitted()
Severity/Risk: Minor
Versions affected: < 1.9.14 (2.x not affected)
Reported by: Aaron Barnes
Issue no.: MDL-28722
Solution: upgrade to 1.9.14
Description:
Course section editing form data was being used without being
filtered, which could be exploited by an injection attack
==============================
MSA-11-0029: Database injection protection strengthened
Topic: Magic quotes hardening of 1.9
Severity/Risk: Serious
Versions affected: < 1.9.14 (2.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-29033
Solution: upgrade to 1.9.14
Description:
Filtering has been added to various DB functions to avoid
unanticipated injection threats
==============================
MSA-11-0030: Wiki section vulnerability
Topic: XSS through 'section' parameter
Severity/Risk: Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-28725
Solution: upgrade to latest version
Description:
XSS was possible through the 'section' parameter.
==============================
MSA-11-0031: Potential personal information leak
Topic: mod/forum/user.php exploses user details
Severity/Risk: Minor
Versions affected: < 2.1.2, < 2.0.5, < 1.9.14
Reported by: Rossiani Wijaya
Issue no.: MDL-28615
Solution: upgrade to latest version
Description:
Users' names should only be displayed to other students in the same
course or to administrators.
==============================
MSA-11-0032: Global search authentication issue
Topic: Guest user can execute global search by inputting
URL directly
Severity/Risk: Minor
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by: Tatsuya Shirai
Issue no.: MDL-19575
Solution: upgrade to latest version
Description:
After logged in to Moodle as a guest, the user could execute a Global search.
--
/// Moodle - open-source software for collaborative learning
///
/// Free software, community, information: http://moodle.org
/// Commercial support and other services: http://moodle.com
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.
To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form. You can also send
a blank email to sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).
See http://lists.moodle.org/info/
viernes, 2 de septiembre de 2011
La entrada 100 con un 3 x 1
Esta semana os queríamos hablar de algunos libros complementarios que hemos ido leyendo estas vacaciones de verano. Pero para empezar un 3 x 1, en esta entrada tan especial que es la 100, donde rompemos la barrera de los dos dígitos. Pues vamos a aprovechar para comentaros que ahora también podéis conseguir el libro directamente desde la web de la editorial, más el libro electrónico de esta primeras 100 entradas más otro con una recopilación de todos los tweets publicados hasta hoy por nuestra cuenta smrweb2 de twitter.
http://www.mghbooks.com/ficha. php?id=8448171357
http://www.mghbooks.com/ficha.
|
sábado, 27 de agosto de 2011
1ª Recopilación de la Unidad 6 de AW 2.0 SMR
Pasando ya al detalle de la sexta unidad sobre el proyecto final, que intenta englobar en varias etapas y fases la realización completa de un caso extrapolado a la realidad de cualquier empresa actual. Con esta recopilación nos damos cuenta que nos se ha tratado practicamente nada sobre la misma en este blog. Aunque todo lo ampliado en las otras 5 unidades, también afecta a esta última.
Estas etiquetas han sido:
U6 (1)
Poco hay que decir en esta última entrada dedicada a las Recopilaciones que se han hecho esta última semana de Agosto. A partir de mañana en esta semana que entra ya en septiembre vamos a dedicarla a recomendar libros que he estado leyendo este verano para ampliar en algunos de los temas tratados.
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
Estas etiquetas han sido:
U6 (1)
Poco hay que decir en esta última entrada dedicada a las Recopilaciones que se han hecho esta última semana de Agosto. A partir de mañana en esta semana que entra ya en septiembre vamos a dedicarla a recomendar libros que he estado leyendo este verano para ampliar en algunos de los temas tratados.
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
viernes, 26 de agosto de 2011
1ª Recopilación de la Unidad 5 de AW 2.0 SMR
Pasando ya al detalle de la quinta unidad sobre el CMS para educación, en concreto MOODLE, por lo que esta unidad ha sido monotematica, aunque hemos intentando ampliar la información en este blog.
Estas etiquetas han sido:
U5 (8) Moodle (7) CMS (3) Creative Commons (2) plugin (2) BitNami.org (1) CC (1) EduParty (1) EducaParty (1) EducaPlay (1) EducaRed (1) Educación (1) LCMS (1) LMS (1) Licencias (1) Maestro a Casa (1) Mahara (1) MoodleMoot (1) SCORM (1) complemento (1)
Aquí no hay muchos temas que tratar, solo que son los LCMS y LMS donde también se podría hablar también de los formatos para los materiales que se pueden crear como el SCORM, también estamos tratando de entrar más en detalle en los complementos o plugin para MOODLE y todo lo que esta en torno a esta comunidad de usuarios en el MoodleMoot.
Esperando que os sea de interés y os aporte algo, como especie de resumen o recordatorio de lo visto sobre la unidad 5 sobre gestores de contenidos especializados en educación (LCMS/LMS) y más concretamente en Moodle que es la plataforma elegida por la gran mayoría de centros de secundaria, pero también universitarios.
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
Estas etiquetas han sido:
U5 (8) Moodle (7) CMS (3) Creative Commons (2) plugin (2) BitNami.org (1) CC (1) EduParty (1) EducaParty (1) EducaPlay (1) EducaRed (1) Educación (1) LCMS (1) LMS (1) Licencias (1) Maestro a Casa (1) Mahara (1) MoodleMoot (1) SCORM (1) complemento (1)
Aquí no hay muchos temas que tratar, solo que son los LCMS y LMS donde también se podría hablar también de los formatos para los materiales que se pueden crear como el SCORM, también estamos tratando de entrar más en detalle en los complementos o plugin para MOODLE y todo lo que esta en torno a esta comunidad de usuarios en el MoodleMoot.
Esperando que os sea de interés y os aporte algo, como especie de resumen o recordatorio de lo visto sobre la unidad 5 sobre gestores de contenidos especializados en educación (LCMS/LMS) y más concretamente en Moodle que es la plataforma elegida por la gran mayoría de centros de secundaria, pero también universitarios.
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
jueves, 25 de agosto de 2011
1ª Recopilación de la Unidad 4 de AW 2.0 SMR
Estas etiquetas han sido:
U4 (9) Joomla (4) CMS (3) Drupal (2) gadget (2) plugin (2) revisiones (2) 1.6 (1) backend (1) BitNami.org (1) JoomSocial (1) OpenSourceCMS (1) WordPress (1)
Aquí no hay muchos temas que tratar, solo que CMS donde también se podría hablar también de WordPress y de otros muchos CMS que existen como Drupal que podeis encontrar ordenados y listados en el portal OpenSourceCMS, también estamos tratando de entrar más en detalle en los complementos o plugin para Joomla como por ejemplo JoomSocial que ya os comentamos que nos sirve para personalizar nuestro portal como una red social.
Esperando que os sea de interés y os aporte algo, como especie de resumen o recordatorio de lo visto sobre la unidad 4 sobre gestores de contenidos (CMS) y más concretamente en Joomla! que es la plataforma elegida por la comunidad de Castilla-La Mancha para que se utilice como web en los centros.
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
miércoles, 24 de agosto de 2011
1ª Recopilación de la Unidad 3 de AW 2.0 SMR
Pasando ya al detalle de la tercera unidad sobre de Aplicaciones Web Multimedia y de Almacenamiento en la red, los temas que se han tratado a groso modo de esta unidad han sido los que más entradas tienen, ya que esta unidad trata muchos temas sin entrar demasiado en detalle en cada uno de ellos.
Estas etiquetas han sido:
U3 (11) #chuche20 (6) WEB (6) YouTube (6) Picasa (2) Streaming (2) Vimeo (2) vídeo (2) #CPES15 (1) 120segundos (1) Bigas Luna (1) Cool Text (1) El Internet de las cosas (1) Google Photos (1) HTML (1) IPICCY (1) Imágen (1) Multimedia (1) Photoshop.com (1) Podcast (1) Previsualiza (1) Search Stories (1) Yahoo Research (1) botones (1) canaltic (1) chuche 2.0 (1) descarga (1) flickr (1) formatos (1) fotos (1) glogster (1) imagen (1) logos (1) mapa (1) nube (1)
Parece a primera vista que nos hemos centrado sobre todo en las aplicaciones web multimedia, pero aún más si cabe en la parte de la nube, así como el tema transversal de las chuches 2.0 que esperamos que vosotros los apliquéis con vuestr@s alumn@s en los próximos cursos...
Esperando que os sea de interés y os aporte algo, como especie de resumen o recordatorio de lo visto sobre la unidad 3 de aplicaciones web multimedia y de Almacenamiento en la red (AWMA).
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
martes, 23 de agosto de 2011
1ª Recopilación de la Unidad 2 de AW 2.0 SMR
Pasando ya al detalle de la segunda unidad sobre de Aplicaciones Web de Ofimática, los temas que se han tratado a groso modo de esta unidad han sido los que más entradas tienen, ya que esta unidad trata muchos temas sin entrar demasiado en detalle en cada uno de ellos.
Estas etiquetas han sido:
U2 (12) AW (8) Google (7) Microsoft (7) Facebook (6) redes sociales (6) twitter (6) 365 (5) Office (5) Aplicaciones (3) Alertas (2) Creative Commons (2) Google+ (2) Infográfia (2) Web 2.0 (2) wikipedia (2) BitNami.org (1) Docs (1) Google Apps (1) Google Plus (1) Grupos (1) Linkedin (1) Online Services (1) Tuenti (1) Tulalip (1) Viadeo (1) Wikis (1) Xing (1) foursquare (1) g+ (1) nube (1) ofimática (1) on-line (1) web 3.0 (1) web semántica (1)
Parece a primera vista que nos hemos centrado sobre todo en las aplicaciones web ofimáticas, pero aún más si cabe en la parte de las redes sociales, así como el tema transversal de la identidad digital que esperamos que vosotros los apliquéis con vuestr@s alumn@s en los próximos cursos...
Esperando que os sea de interés y os aporte algo, como especie de resumen o recordatorio de lo visto sobre la unidad 2 de Aplicaciones Web Ofimáticas (AWO).
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
Estas etiquetas han sido:
U2 (12) AW (8) Google (7) Microsoft (7) Facebook (6) redes sociales (6) twitter (6) 365 (5) Office (5) Aplicaciones (3) Alertas (2) Creative Commons (2) Google+ (2) Infográfia (2) Web 2.0 (2) wikipedia (2) BitNami.org (1) Docs (1) Google Apps (1) Google Plus (1) Grupos (1) Linkedin (1) Online Services (1) Tuenti (1) Tulalip (1) Viadeo (1) Wikis (1) Xing (1) foursquare (1) g+ (1) nube (1) ofimática (1) on-line (1) web 3.0 (1) web semántica (1)
Parece a primera vista que nos hemos centrado sobre todo en las aplicaciones web ofimáticas, pero aún más si cabe en la parte de las redes sociales, así como el tema transversal de la identidad digital que esperamos que vosotros los apliquéis con vuestr@s alumn@s en los próximos cursos...
Esperando que os sea de interés y os aporte algo, como especie de resumen o recordatorio de lo visto sobre la unidad 2 de Aplicaciones Web Ofimáticas (AWO).
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
lunes, 22 de agosto de 2011
1ª Recopilación de la Unidad 1 de AW 2.0 SMR
Pasando ya al detalle de la primera unidad sobre de Aplicaciones Web de Escritorio, los temas que se han tratado a groso modo de esta unidad han sido los que más entradas tienen, ya que esta unidad trata muchos temas sin entrar demasiado en detalle en cada uno de ellos.
Estas etiquetas han sido:
U1 (25) BLOG (10) Blogger (7) Google (7) Microsoft (7) Firefox (6) WEB (6) twitter (6) navegador (4) Aplicaciones (3) CMS (3) Chrome (3) Deliciuos (3) IE (3) Internet (3) Opera (3) RSS (3) Safari (3) browser (3) Apple (2) Busquedas (2) Creative Commons (2) GMail (2) Genís Roca (2) Google Reader (2) Habilidades Digitales (2) Web 2.0 (2) Wibiya (2) gadget (2) plugin (2) Android (1) BitNami.org (1) Blackberry (1) CC (1) CSS (1) Comparativa (1) Comunicaciones (1) DOM (1) Entradas en diferido (1) Feed (1) Flash (1) Fringe (1) GNU/Linux (1) Google Blogs (1) HTML (1) Hardware (1) Internet Explorer (1) JavaScript (1) Jóvenes extraordinarios (1) Libertexto (1) Licencias (1) LinkWithin (1) Memolane (1) Metaweb (1) Pau Garcia-Milà (1) Previsualiza (1) Recomendaciones WAI (1) Snap Shot (1) Timeline (1) Tripit (1) WAMP (1) Web Accesibility Initiative (1) Windows (1) WordPress (1) aldea global (1) anti-Flash (1) backend (1) botones (1) cambios (1) chuche 2.0 (1) complemento (1) configurar (1) creador (1) descarga (1) diccionario (1) diseño (1) editor (1) en línea (1) enlaces externos (1) entradas (1) eyeOS (1) historia (1) iPhone (1) id (1) invitar (1) jaiku (1) meneame (1) microblogging (1) motion (1) nanoblogging (1) negocio (1) novedades (1) nube (1) on-line (1) origen (1) paper.li (1) plataformas iOS (1) presentación (1) programar (1) tipos (1)
Parece a primera vista que nos hemos centrado sobre todo en los navegadores, pero aún más si cabe en la parte de los blogs, donde se ha incidido más ya que todas las entradas realizadas sobre este tema se han ido aplicando al mismo tiempo sobre este mismo blog y esperamos que vosotros los apliquéis con vuestr@s alumn@s en los próximos cursos...
Esperando que os sea de interés y os aporte algo, como especie de resumen o recordatorio de lo visto sobre la unidad 1 de Aplicaciones Web de Escritorio.
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
Estas etiquetas han sido:
U1 (25) BLOG (10) Blogger (7) Google (7) Microsoft (7) Firefox (6) WEB (6) twitter (6) navegador (4) Aplicaciones (3) CMS (3) Chrome (3) Deliciuos (3) IE (3) Internet (3) Opera (3) RSS (3) Safari (3) browser (3) Apple (2) Busquedas (2) Creative Commons (2) GMail (2) Genís Roca (2) Google Reader (2) Habilidades Digitales (2) Web 2.0 (2) Wibiya (2) gadget (2) plugin (2) Android (1) BitNami.org (1) Blackberry (1) CC (1) CSS (1) Comparativa (1) Comunicaciones (1) DOM (1) Entradas en diferido (1) Feed (1) Flash (1) Fringe (1) GNU/Linux (1) Google Blogs (1) HTML (1) Hardware (1) Internet Explorer (1) JavaScript (1) Jóvenes extraordinarios (1) Libertexto (1) Licencias (1) LinkWithin (1) Memolane (1) Metaweb (1) Pau Garcia-Milà (1) Previsualiza (1) Recomendaciones WAI (1) Snap Shot (1) Timeline (1) Tripit (1) WAMP (1) Web Accesibility Initiative (1) Windows (1) WordPress (1) aldea global (1) anti-Flash (1) backend (1) botones (1) cambios (1) chuche 2.0 (1) complemento (1) configurar (1) creador (1) descarga (1) diccionario (1) diseño (1) editor (1) en línea (1) enlaces externos (1) entradas (1) eyeOS (1) historia (1) iPhone (1) id (1) invitar (1) jaiku (1) meneame (1) microblogging (1) motion (1) nanoblogging (1) negocio (1) novedades (1) nube (1) on-line (1) origen (1) paper.li (1) plataformas iOS (1) presentación (1) programar (1) tipos (1)
Parece a primera vista que nos hemos centrado sobre todo en los navegadores, pero aún más si cabe en la parte de los blogs, donde se ha incidido más ya que todas las entradas realizadas sobre este tema se han ido aplicando al mismo tiempo sobre este mismo blog y esperamos que vosotros los apliquéis con vuestr@s alumn@s en los próximos cursos...
Esperando que os sea de interés y os aporte algo, como especie de resumen o recordatorio de lo visto sobre la unidad 1 de Aplicaciones Web de Escritorio.
¿Nos gustaría saber cual fue la entrada que más os ha gustado? ¿O el tema o etiqueta que más os interesa? ¿Cuáles echáis en falta? ¿Y cuales quitaríais?
Suscribirse a:
Entradas (Atom)