Os voy a copiar un mensaje de seguridad de los que suele ir enviando el propio creador de moodle, para advertir de problemas de seguridad que hay que arreglar de manera URGENTE para evitar agujeros de seguridad o problemas varios, se los envía a todos aquellos administradores de algún moodle que se hayan registrado como tal en su web, así que si queréis seguir informados registraros...
(Este mensaje va a más de 75.000 registrados administradores de Moodle.
está recibiendo este correo electrónico porque usted pidió noticias de seguridad de Moodle
cuando se registró un sitio Moodle. Si no quiere que estos mensajes de correo electrónico
a continuación, ver el final de este correo electrónico para obtener más información acerca de darse de baja)
, CVS o Git).
de.
Como administrador de Moodle registrados les estamos avisando con antelación de estos
cuestiones para que tenga tiempo para corregirlos antes de que los publiquemos más
y hacerlas públicas.
Realmente no se puede entonces por favor revise la siguiente lista con cuidado y
aplicar las soluciones provisionales o parches.
==================== ==========
MSA-11-0012: problema de autenticación
Tema: "cambiar la contraseña de la Fuerza" no pasa
De gravedad / riesgo: menor
Versiones afectadas: <2.0.3 (1.9.x no se ve afectada)
Reportado por: Stephen general
El n °:. MDL-26803
Solución: actualizar a 2.0.3
Solución: Después de cargar los usuarios a través de CSV, cambie la contraseña usando la fuerza
acciones en bloque de usuario
Descripción:
Esta vulnerabilidad permite a los usuarios nuevos que se agregaron a través de CSV para ganar
acceso sin necesidad de cambiar su contraseña.
==============================
==================== ==========
MSA-11-0013: Grupo / Quiz problema de permisos
Tema: Página de Prueba de examen no comprueba y modo de aplicación grupos separados
De gravedad / riesgo: grave
Versiones afectadas: <1.9.12 y <2.0.3
Browne Claire: Reportado por
El n °:. MDL-25122
Solución: actualizar a la última versión
Solución: retirar el permiso para ver los informes de prueba
Descripción:
Cuando un maestro es asignado a un grupo que puede ver los informes de prueba para
todos los estudiantes, no sólo a los estudiantes en su grupo.
==============================
==================== ==========
MSA-11-0014: Los datos personales que aparecen sin permiso
Tema: Sistema de fugas perfil de usuario de correo electrónico cuando se maildisplay == 2
De gravedad / riesgo: grave
Versiones afectadas: <2.0.3 (1.9.x no se ve afectada)
Reportado por: Petr Škoda
El n °:. MDL-26621
Solución: actualizar a 2.0.3
Solución: desactivar la pantalla de correo electrónico en los perfiles
Descripción:
Las direcciones de correo electrónico de los usuarios se mostraban en la página de perfil completo
cuando había indicado que debe aparecer a los miembros del curso solamente.
==============================
==================== ==========
MSA-11-0015: Cross Site Scripting a través de la codificación URL
Tema: Cross Site Scripting en varias páginas
De gravedad / riesgo: grave
Versiones afectadas: <1.9.12
Reportado por: Petasis Panagiotis
El n °:. MDL-26966
Solución: actualizar a la última versión
Descripción:
Una evaluación de la vulnerabilidad realizado por el escáner reveló Acunetix Web
posibles vulnerabilidades XSS en algunas páginas. Todas ellas han sido
fija.
==============================
==================== ==========
MSA-11-0016: Calificaciones de suplantación de identidad puede resultar en datos no válidos
Tema: Capacidad para llenar una base de datos con registros inválidos a través de calificaciones
De gravedad / riesgo: grave
Versiones afectadas: <2.0.3 (1.9.x no se ve afectada)
Hemelryk Sam: Reportado por
El n °:. MDL-26838
Solución: actualizar a la última versión
Solución: Evitar el uso de calificaciones
Descripción:
Es posible si se inicia sesión como un usuario autenticado para generar
registros inválidos en la tabla de clasificación de la base de datos, y si
alguien tenía la intención de destrucción haciendo fácilmente podría escribir un simple
script para la base de datos de spam.
==============================
==================== ==========
MSA-11-0017: comentarios suplantación puede dar lugar a datos no válidos
Tema: Capacidad de generar registros inválidos en la tabla de comentarios en la base de datos
De gravedad / riesgo: grave
Versiones afectadas: <2.0.3 (1.9.x no se ve afectada)
Hemelryk Sam: Reportado por
El n °:. MDL-26854
Solución: actualizar a la última versión
Solución: Evitar el uso de comentarios
Descripción:
Esto es un error importante en el sistema de comentarios que permite una
usuario autenticado para llenar la mesa de comentarios en la base de datos con
completamente registros inválidos.
==============================
==================== ==========
Gracias como siempre a todos los involucrados en la presentación de informes y la fijación de seguridad
cuestiones por todo su trabajo duro. Realmente es un esfuerzo de equipo y un
con más y más personas que participan todo el tiempo.
Saludos y gracias por usar Moodle!
Martin Dougiamas (fundador y desarrollador principal de Moodle)
-
/ / / Moodle - software de código abierto para el aprendizaje colaborativo
/ / /
/ / / Software libre, comunidad, información:
http://moodle.org
/ / / Soporte comercial y otros servicios:
http://moodle.com
-
Usted está recibiendo este mensaje porque se ha registrado un sitio Moodle con Moodle.org
y optó por añadir a esta lista de bajo volumen de las notificaciones de seguridad y otros
Moodle importantes anuncios relacionados con los administradores de Moodle.
Para darse de baja puede volver a registrar su sitio (como antes) y asegúrese de que
apagar la opción de correo electrónico en el formulario de inscripción. Usted también puede enviar
un mensaje en blanco a
sympa@lists.moodle.org con "securityalerts darse de baja"
como el tema (de la dirección de correo electrónico que está suscrito).
Ver
http://lists.moodle.org/info/securityalerts para más.
---------- Forwarded message ----------
From:
Martin Dougiamas <martin@moodle.com>
Date: 2011/5/10
Subject: [securityalerts] URGENT: Moodle 2.0.3 and Moodle 1.9.12 are now available with security fixes
To:
securityalerts@lists.moodle.org
Hello registered Moodle Admins!
(This email is going out to over 75,000 registered Moodle admins. You
are receiving this email because you asked for Moodle security news
when you registered a Moodle site. If you don't want these emails
then see the very end of this email for info about unsubscribing)
I'm writing today to let you know that Moodle 2.0.3 and 1.9.12 are
available via the usual open download channels
(
http://download.moodle.org, CVS or Git).
The release notes are here (and still being expanded):
*
http://docs.moodle.org/en/Moodle_2.0.3_release_notes
*
http://docs.moodle.org/en/Moodle_1.9.12_release_notes
SECURITY ISSUES
As well as a long list of bug fixes, performance improvements and
polishing, there are a number of security issues you should be aware
of.
As a registered Moodle admin we are giving you advance notice of these
issues so you have some time to fix them before we publish them more
widely on
http://moodle.org/security and publicize them.
To avoid leaving your site vulnerable we highly recommend you upgrade
your sites to the latest Moodle version as soon as you can, but if you
really can't then please check the following list carefully and
implement the provided workarounds or patches.
==============================
==============================
MSA-11-0012: Authentication issue
Topic: "Force password change" not happening
Severity/Risk: Minor
Versions affected: < 2.0.3 (1.9.x not affected)
Reported by: Stephen Overall
Issue no.: MDL-26803
Solution: upgrade to 2.0.3
Workaround: After uploading users via CSV, force password change using
bulk user actions
Description:
This vulnerability allows new users who were added via CSV to gain
access without being required to change their password.
==============================
==============================
MSA-11-0013: Group/Quiz permissions issue
Topic: Quiz review page does not check and enforce separate groups mode
Severity/Risk: Serious
Versions affected: < 1.9.12 and < 2.0.3
Reported by: Claire Browne
Issue no.: MDL-25122
Solution: upgrade to latest version
Workaround: remove permission to view quiz reports
Description:
When a teacher is assigned to a group they can view quiz reports for
all students, not just the students in their group.
==============================
==============================
MSA-11-0014: Personal details displayed without permission
Topic: System user profile leaks email when maildisplay == 2
Severity/Risk: Serious
Versions affected: < 2.0.3 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-26621
Solution: upgrade to 2.0.3
Workaround: disable email display in profiles
Description:
Email addresses of users were being displayed on the full profile page
when they had indicated it should appear to course members only.
==============================
==============================
MSA-11-0015: Cross Site Scripting through URL encoding
Topic: Cross Site Scripting in multiple pages
Severity/Risk: Serious
Versions affected: < 1.9.12
Reported by: Panagiotis Petasis
Issue no.: MDL-26966
Solution: upgrade to latest version
Description:
A vulnerability assessment done by the Acunetix Web Scanner revealed
possible XSS vulnerabilities in some pages. These have all been
fixed.
==============================
==============================
MSA-11-0016: Spoofing ratings can result in invalid data
Topic: Ability to fill a database with invalid records through ratings
Severity/Risk: Serious
Versions affected: < 2.0.3 (1.9.x not affected)
Reported by: Sam Hemelryk
Issue no.: MDL-26838
Solution: upgrade to latest version
Workaround: Avoid using ratings
Description:
It is possible if logged in as an authenticated user to generate
invalid records within the rating table of the database, and if
someone was intent of doing destruction could easily write a simple
script to spam the database.
==============================
==============================
MSA-11-0017: Spoofing comments can result in invalid data
Topic: Ability to generate invalid records in the comments table in the database
Severity/Risk: Serious
Versions affected: < 2.0.3 (1.9.x not affected)
Reported by: Sam Hemelryk
Issue no.: MDL-26854
Solution: upgrade to latest version
Workaround: Avoid using comments
Description:
This is a significant bug in the comments system which allows an
authenticated user to fill the comments table in the database with
completely invalid records.
==============================
==============================
Thanks as always to EVERYONE involved in reporting and fixing security
issues for all their hard work. It really is a team effort and one
with more and more people involved all the time.
Cheers and thanks for using Moodle!
Martin Dougiamas (Moodle founder and lead developer)
--
/// Moodle - open-source software for collaborative learning
///
/// Free software, community, information:
http://moodle.org
/// Commercial support and other services:
http://moodle.com
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.
To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form. You can also send
a blank email to
sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).
See
http://lists.moodle.org/info/securityalerts for more.
