Moodle 2.8.3, 2.7.5 y 2.6.8 están ahora disponibles (desbloqueo de emergencia)
Este
correo electrónico va a muchos miles de administradores de Moodle
registrados. Usted está recibiendo este correo electrónico porque usted
pidió noticias de seguridad Moodle cuando se registró un sitio Moodle.
Si no desea que estos mensajes de correo electrónico, por favor, vuelva a
registrar su sitio con las nuevas preferencias o usar el siguiente
enlace para darse de baja. No se leen las respuestas a este correo
electrónico.
Estoy escribiendo hoy para hacerle saber que
Moodle 2.8.3, 2.7.5 y 2.6.8 están disponibles a través de los canales
habituales de descarga abierta:
https://download.moodle.org
o Git. La semana pasada un problema de seguridad crítico se informó en
Moodle y hemos tomado la decisión de hacer una apertura de emergencia.
Tenga en cuenta que la rama 2.6 es ahora compatible únicamente con
parches de seguridad. Este comunicado de emergencia no cambia el
calendario de lanzamientos normal y el próximo lanzamiento menor será
como se previó en el segundo lunes de marzo.
Notas de publicación están disponibles para cada nueva versión.
Cuestiones de seguridad
Además de una larga lista de correcciones de errores, mejoras de
rendimiento y pulido, hay un problema de seguridad crítico que usted
debe tener en cuenta. Los detalles de este problema de seguridad se
enumeran a continuación.
Como administrador de Moodle registrada
que le estamos dando aviso anticipado de estos temas por lo que tiene
algo de tiempo para corregirlos antes de que las hayamos publicado más
ampliamente en
https://moodle.org/security en una semana.
Para evitar dejar su sitio vulnerable, le recomendamos que actualice
los sitios a la última versión de Moodle tan pronto como sea posible.
Esta vulnerabilidad está presente en todas las versiones a partir de
Moodle 2.3. En las versiones 2.3.x y 2.4.x sólo puede ser explotado en
servidores Windows, a partir de Moodle 2.5 que puede ser explotado en
servidores con cualquier sistema operativo. Si usted recibe cualquiera
de las versiones no compatibles o no puede actualizar una versión
compatible de inmediato se debe aplicar la revisión manualmente para
proteger su servidor. También como una solución temporal al servidor web
se puede configurar para impedir el acceso a URLs que contienen "../" o
"..", aunque no se recomienda utilizarlo como una solución permanente.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de
informes y las cuestiones de fijación. Realmente es un esfuerzo de
equipo y una con más y más gente involucrada en todo momento.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Gerente de Desarrollo de Procesos, HQ Moodle
================================================== ============================
MSA-15-0009: Directorio Ataque Transversal posible a través de algunos archivos que sirven JS
Descripción: Parámetro "archivo" se pasa a los scripts que sirven JS no era
siempre limpiado de la inclusión de "../" en el camino, lo que permite
Para leer los archivos situados fuera del directorio moodle. Todos los SO
están afectados pero especialmente vulnerables son los servidores de Windows
Resumen Edición: PreAuthenticated Divulgación archivo local
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.2, 2.7 y 2.7.4, 2.6 a 2.6.7 y anteriores
versiones sin soporte
Versiones fijas: 2.8.3, 2.7.5 y 2.6.8
Reportado por: Emiel Florijn
Emitir no .: MDL-48980 y MDL-48990
Solución: Prohibir el acceso a las URL con "../" o ".." en la web
configuración del servidor
CVE identificador: CVE-2015-0246
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48980
================================================== ============================
Moodle 2.8.3, 2.7.5 and 2.6.8 are now available (emergency release)
This email is going out to many thousands of registered Moodle
admins. You are receiving this email because you asked for Moodle
security news when you registered a Moodle site. If you don't want these
emails then please re-register your site with your new preferences or
use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.8.3, 2.7.5 and 2.6.8 are available via the usual open download channels:
https://download.moodle.org or Git. Last week a critical security issue was reported in Moodle and we have made a decision to make an emergency release.
Note that the 2.6 branch is now supported for security fixes only.
This emergency release does not shift the normal release schedule and
the next minor release will happen as planned on the second Monday of
March.
Release notes are available for each new version.
Security Issues
As well as a long list of bug fixes, performance improvements and
polishing, there is a critical security issue you should be aware of.
Details of this security issue are listed below.
As a registered Moodle admin we are giving you advance notice of
these issues so you have some time to fix them before we publish them
more widely on
https://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you
upgrade your sites to the latest Moodle version as soon as you can.
This vulnerability is present in all Moodle versions starting from
2.3. On versions 2.3.x and 2.4.x it can only be exploited on Windows
servers, starting from Moodle 2.5 it can be exploited on servers with
any operating system. If you host any of unsupported versions or can not
upgrade a supported version straight away you should apply the fix
manually to protect your server. Also as a temporary workaround the
webserver can be configured to prevent access to URLs containing "../"
or "..", although we do not recommend to use it as a permanent solution.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing
issues. It really is a team effort and one with more and more people
involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
==============================================================================
MSA-15-0009: Directory Traversal Attack possible through some files serving JS
Description: Parameter "file" passed to scripts serving JS was not
always cleaned from including "../" in the path, allowing
to read files located outside of moodle directory. All OS
are affected but especially vulnerable are Windows servers
Issue summary: Preauthenticated Local File Disclosure
Severity/Risk: Serious
Versions affected: 2.8 to 2.8.2, 2.7 to 2.7.4, 2.6 to 2.6.7 and earlier
unsupported versions
Versions fixed: 2.8.3, 2.7.5 and 2.6.8
Reported by: Emiel Florijn
Issue no.: MDL-48980 and MDL-48990
Workaround: Prevent access to URLs containing "../" or ".." in web
server configuration
CVE identifier: CVE-2015-0246
Changes (master): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48980
==============================================================================