lunes, 8 de septiembre de 2014

Moodle 2.7.2, 2.6.5 and 2.5.8 are now available

Un mensaje para registrados Administradores de Moodle

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad de Moodle cuando se registró un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con las nuevas preferencias o utilizar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.
Estoy escribiendo hoy para hacerle saber que Moodle 2.7.2, 2.6.5 y 2.5.8 están disponibles a través de los habituales canales de descarga abierta: http://download.moodle.org o Git.
Tenga en cuenta que la rama 2.5 es ahora compatible sólo con parches de seguridad.
Notas de la versión están disponibles para cada nueva versión.

Cuestiones de seguridad

Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulir, hay dos problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como un administrador de Moodle registrado que le estamos dando aviso previo de estas cuestiones por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en http://moodle.org/security en una semana.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, entonces por favor revise la siguiente lista con cuidado y remendar su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Michael de Raadt
Gerente de Desarrollo, HQ Moodle
================================================== =====================
MSA-14-0033: inyección de parámetro URL en la autenticación CAS

Descripción: Una falla en la biblioteca CAS de terceros, utilizados por
                   Moodle, se ha encontrado, que podría potencialmente
                   permitir el acceso no autorizado y escalada de privilegios.
Resumen Edición: Upgrade phpCAS a 1.3.3 o superior - la seguridad
                   vulnerabilidades
Severidad / Riesgo: Serious
Versiones afectadas: 2.7 a 2.7.1, 2.6 a 2.6.4, 2.5 a 2.5.7 y anteriores
                   versiones no compatibles
Versiones fijas: 2.7.2 y 2.6.5 (NOTA: Una solución al 2.5 no era
                   posible. Usuarios CAS con Moodle 2.5 o anterior se
                   animado a actualizar a una versión más reciente.)
Reportado por: Eric Merrill
Emitir no .: MDL-46766
CVE identificador: CVE-2014-4172
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-46766

================================================== =====================
MSA-14-0034: La información de identidad revelada a principios de Q & A foro

Descripción: Los usuarios que aún no se había publicado la respuesta requerida en
                   un Q & A foro con el fin de acceder a los mensajes anteriores fueron capaces
                   para ver el nombre de la última persona que había publicado.
Resumen Edición: Otros autores son visibles en /mod/forum/view.php
                   antes que el estudiante ha publicado su propia respuesta.
Severidad / Riesgo: Minor
Versiones afectadas: 2.7 a 2.7.1, 2.6 a 2.6.4, 2.5 a 2.5.7 y anteriores
                   versiones no compatibles
Versiones fijas: 2.7.2, 2.6.5 y 2.5.8
Reportado por: Amanda Doughty
Emitir no .: MDL-46619
CVE identificador: CVE-2014-3617
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-46619

================================================== =====================

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.7.2, 2.6.5 and 2.5.8 are available via the usual open download channels: http://download.moodle.org or Git.
Note that the 2.5 branch is now supported for security fixes only.
Release notes are available for each new version.

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are two security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on http://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Michael de Raadt
Development Manager, Moodle HQ
=======================================================================
MSA-14-0033: URL parameter injection in CAS authentication

Description:       A flaw in the third-party CAS library, utilised by
                   Moodle, has been found, which could potentially
                   allow unauthorised access and privilege escalation.
Issue summary:     Upgrade phpCAS to 1.3.3 or greater - security
                   vulnerabilities
Severity/Risk:     Serious
Versions affected: 2.7 to 2.7.1, 2.6 to 2.6.4, 2.5 to 2.5.7 and earlier
                   unsupported versions
Versions fixed:    2.7.2 and 2.6.5 (NOTE: A fix to 2.5 was not
                   possible. CAS users with Moodle 2.5 or earlier are
                   encouraged to upgrade to a more recent release.)
Reported by:       Eric Merrill
Issue no.:         MDL-46766
CVE identifier:    CVE-2014-4172
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-46766

=======================================================================
MSA-14-0034: Identity information revealed early in Q&A forum

Description:       Users who had not yet posted the required answer in
                   a Q&A forum in order to access past posts were able
                   to see the name of the last person who had posted.
Issue summary:     Other authors are visible in /mod/forum/view.php
                   before student has posted their own answer.
Severity/Risk:     Minor
Versions affected: 2.7 to 2.7.1, 2.6 to 2.6.4, 2.5 to 2.5.7 and earlier
                   unsupported versions
Versions fixed:    2.7.2, 2.6.5 and 2.5.8
Reported by:       Amanda Doughty
Issue no.:         MDL-46619
CVE identifier:    CVE-2014-3617
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-46619

=======================================================================

No hay comentarios:

Publicar un comentario

LinkWithin

Related Posts Plugin for WordPress, Blogger...