Un mensaje para registrados Administradores de Moodle
Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad de Moodle cuando se registró un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con las nuevas preferencias o utilizar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.Estoy escribiendo hoy para hacerle saber que Moodle 2.7.2, 2.6.5 y 2.5.8 están disponibles a través de los habituales canales de descarga abierta: http://download.moodle.org o Git.
Tenga en cuenta que la rama 2.5 es ahora compatible sólo con parches de seguridad.
Notas de la versión están disponibles para cada nueva versión.
Cuestiones de seguridad
Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulir, hay dos problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como un administrador de Moodle registrado que le estamos dando aviso previo de estas cuestiones por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en http://moodle.org/security en una semana.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, entonces por favor revise la siguiente lista con cuidado y remendar su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Michael de Raadt
Gerente de Desarrollo, HQ Moodle
================================================== ===================== MSA-14-0033: inyección de parámetro URL en la autenticación CAS Descripción: Una falla en la biblioteca CAS de terceros, utilizados por Moodle, se ha encontrado, que podría potencialmente permitir el acceso no autorizado y escalada de privilegios. Resumen Edición: Upgrade phpCAS a 1.3.3 o superior - la seguridad vulnerabilidades Severidad / Riesgo: Serious Versiones afectadas: 2.7 a 2.7.1, 2.6 a 2.6.4, 2.5 a 2.5.7 y anteriores versiones no compatibles Versiones fijas: 2.7.2 y 2.6.5 (NOTA: Una solución al 2.5 no era posible. Usuarios CAS con Moodle 2.5 o anterior se animado a actualizar a una versión más reciente.) Reportado por: Eric Merrill Emitir no .: MDL-46766 CVE identificador: CVE-2014-4172 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-46766 ============================== ==================== ===================== MSA-14-0034: La información de identidad revelada a principios de Q & A foro Descripción: Los usuarios que aún no se había publicado la respuesta requerida en un Q & A foro con el fin de acceder a los mensajes anteriores fueron capaces para ver el nombre de la última persona que había publicado. Resumen Edición: Otros autores son visibles en /mod/forum/view.php antes que el estudiante ha publicado su propia respuesta. Severidad / Riesgo: Minor Versiones afectadas: 2.7 a 2.7.1, 2.6 a 2.6.4, 2.5 a 2.5.7 y anteriores versiones no compatibles Versiones fijas: 2.7.2, 2.6.5 y 2.5.8 Reportado por: Amanda Doughty Emitir no .: MDL-46619 CVE identificador: CVE-2014-3617 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-46619 ============================== ==================== =====================
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 2.7.2, 2.6.5 and 2.5.8 are available via the usual open download channels: http://download.moodle.org or Git.
Note that the 2.5 branch is now supported for security fixes only.
Release notes are available for each new version.
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are two security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on http://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Michael de Raadt
Development Manager, Moodle HQ
============================================================ =========== MSA-14-0033: URL parameter injection in CAS authentication Description: A flaw in the third-party CAS library, utilised by Moodle, has been found, which could potentially allow unauthorised access and privilege escalation. Issue summary: Upgrade phpCAS to 1.3.3 or greater - security vulnerabilities Severity/Risk: Serious Versions affected: 2.7 to 2.7.1, 2.6 to 2.6.4, 2.5 to 2.5.7 and earlier unsupported versions Versions fixed: 2.7.2 and 2.6.5 (NOTE: A fix to 2.5 was not possible. CAS users with Moodle 2.5 or earlier are encouraged to upgrade to a more recent release.) Reported by: Eric Merrill Issue no.: MDL-46766 CVE identifier: CVE-2014-4172 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-46766 ============================== ============================== =========== MSA-14-0034: Identity information revealed early in Q&A forum Description: Users who had not yet posted the required answer in a Q&A forum in order to access past posts were able to see the name of the last person who had posted. Issue summary: Other authors are visible in /mod/forum/view.php before student has posted their own answer. Severity/Risk: Minor Versions affected: 2.7 to 2.7.1, 2.6 to 2.6.4, 2.5 to 2.5.7 and earlier unsupported versions Versions fixed: 2.7.2, 2.6.5 and 2.5.8 Reported by: Amanda Doughty Issue no.: MDL-46619 CVE identifier: CVE-2014-3617 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-46619 ============================== ============================== ===========
No hay comentarios:
Publicar un comentario