Moodle 2.8.5, 2.7.7 and 2.6.10 are now available (Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles)
Un mensaje para registrados administradores de Moodle
Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.Estoy escribiendo hoy para hacerle saber que Moodle 2.8.5, 2.7.7 y 2.6.10 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git. Este lanzamiento sigue inmediatamente la liberación de 2.8.4, 2.7.6 y 2.6.9, que contenía una regresión de última hora que fue capturado después de que el embalaje.
Tenga en cuenta que la rama 2.6 es ahora compatible únicamente con parches de seguridad.
Notas de publicación están disponibles para cada nueva versión.
Cuestiones de seguridad
Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulido, hay seis temas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en https://moodle.org/security en una semana.
Para evitar dejar su sitio vulnerable, le recomendamos que actualice los sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, consulte la siguiente lista con cuidado y remendar su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Gerente de Desarrollo de Procesos, HQ Moodle
================================================== ============================ MSA-15-0010: Los contactos personales y el número de mensajes no leídos pueden ser reveladas Descripción: Al modificar una URL conectado el usuario puede ver la lista de contactos de otro usuario, número de mensajes no leídos y lista de sus cursos. Resumen Problema: Los contactos personales y el número de mensajes no leídos pueden ser revelado Severidad / Riesgo: Menor Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores versiones sin soporte Versiones fijas: 2.8.4, 2.7.6 y 2.6.9 Reportado por: Barry Oosthuizen Emitir no .: MDL-49204 Solución: Desactivar la mensajería en el sitio CVE identificador: CVE-2015-2266 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49204 ============================== ==================== ============================ MSA-15-0011: Autenticación en mdeploy se puede omitir Descripción: Teóricamente posible extraer los archivos en cualquier lugar de la sistema en el que el servidor web tiene acceso de escritura. Aunque es bastante difícil de explotar desde atacante debe de usuario conocer detalles sobre el sistema y ya tienen significativa permisos en el sitio. Resumen Edición: Autenticación en mdeploy se puede omitir Severidad / Riesgo: Graves Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores versiones sin soporte Versiones fijas: 2.8.4, 2.7.6 y 2.6.9 Reportado por: Frédéric Massart Emitir no .: MDL-49087 Solución: Elimine el mdeploy.php archivo o impedir el acceso a ella en el configuración del servidor web CVE identificador: CVE-2015-2267 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49087 ============================== ==================== ============================ MSA-15-0012: Redos Posible con enlaces filtro Convertir URLs Descripción: expresión regular no es óptima en el filtro podría ser explotado para crear carga del servidor adicional o hacer especial La página no está disponible Resumen Edición: Redos Posible con enlaces filtro Convertir URLs Severidad / Riesgo: Graves Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores versiones sin soporte Versiones fijas: 2.8.4, 2.7.6 y 2.6.9 Reportado por: Rob Emitir no .: MDL-38466 Solución: Desactivar enlaces a filtro de URLs CVE identificador: CVE-2015-2268 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-38466 ============================== ==================== ============================ MSA-15-0013: título del bloque no escapó correctamente y puede causar la inyección HTML Descripción: Es posible crear inyección HTML a través de bloques con títulos configurables, sin embargo, esto sólo podían ser explotados los usuarios que ya están marcados como XSS de confianza- Resumen Edición: Título del bloque no escapó correctamente y puede causar HTML inyección Severidad / Riesgo: Menor Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores versiones sin soporte Versiones fijas: 2.8.4, 2.7.6 y 2.6.9 Reportado por: Gjoko Krstic Emitir no .: MDL-49144 CVE identificador: CVE-2015-2269 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49144 ============================== ==================== ============================ MSA-15-0014: El potencial de divulgación de información para los cursos de difícil acceso Descripción: Para los temas personalizados que utilizan bloques de regiones en la base layout los bloques para los cursos podrían ser inaccesibles aparece junto con el curso relacionada sensata información. La mayoría de los temas, incluyendo todos los estándares Temas de Moodle, no se ven afectados. Resumen Edición: usuario invitado puede ver la información del curso que no deben ser poder a través require_login Severidad / Riesgo: Menor Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores versiones sin soporte Versiones fijas: 2.8.4, 2.7.6 y 2.6.9 Reportado por: Sam Hemelryk Emitir no .: MDL-48804 CVE identificador: CVE-2015-2270 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48804 ============================== ==================== ============================ MSA-15-0015: El usuario sin el permiso adecuado es capaz de marcar la etiqueta como inapropiado Descripción: Caso muy menor de la capacidad de no respetar, no lo hace afectar mayoría de los sitios desde esta capacidad se da a los usuarios autenticados por defecto Resumen Edición: Capacidad moodle / tag: bandera no observó Severidad / Riesgo: Menor Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores versiones sin soporte Versiones fijas: 2.8.4, 2.7.6 y 2.6.9 Reportado por: Frédéric Massart Emitir no .: MDL-49084 CVE identificador: CVE-2015-2271 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49084 ============================== ==================== ============================ MSA-15-0016: servicios Web testigo puede ser creado por el usuario con temporal contraseña Descripción: Incluso cuando la contraseña del usuario se ve obligado a cambiar el inicio de sesión, usuario todavía podría usarla para la autenticación con el fin de crear el servicio web token y, por tanto, extender la vida de la contraseña temporal a través de servicios web. Resumen Edición: login / token.php no comprueba si auth_forcepasswordchange está en para el usuario Severidad / Riesgo: Graves Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores versiones sin soporte Versiones fijas: 2.8.4, 2.7.6 y 2.6.9 Reportado por: Juan Leyva Emitir no .: MDL-48691 CVE identificador: CVE-2015-2272 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48691 ============================== ==================== ============================ MSA-15-0017: XSS en el informe de estadísticas de concursos Descripción: Concurso informe de estadísticas no escapó correctamente estudiante respuestas y podrían utilizarse para el ataque XSS Resumen Edición: XSS en el informe de estadísticas de concursos Severidad / Riesgo: Menor Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores versiones sin soporte Versiones fijas: 2.8.4, 2.7.6 y 2.6.9 Reportado por: Tim Hunt Emitir no .: MDL-49364 CVE identificador: CVE-2015-2273 Cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49364 ============================== ==================== ============================
---------- Forwarded message ----------
From: Moodle Security Alerts <securityalerts@moodle.org>
Date: 2015-03-10 3:39 GMT+01:00
Subject: Moodle 2.8.5, 2.7.7 and 2.6.10 are now available
To: rvlerma@gmail.com
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 2.8.5, 2.7.7 and 2.6.10 are available via the usual open download channels: https://download.moodle.org or Git. This release immediately follows the release of 2.8.4, 2.7.6 and 2.6.9 which contained a last-minute regression that was caught after the packaging.
Note that the 2.6 branch is now supported for security fixes only.
Release notes are available for each new version.
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are six security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
============================================================ ================== MSA-15-0010: Personal contacts and number of unread messages can be revealed Description: By modifying URL a logged in user can view the list of another user's contacts, number of unread messages and list of their courses. Issue summary: Personal contacts and number of unread messages can be revealed Severity/Risk: Minor Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier unsupported versions Versions fixed: 2.8.4, 2.7.6 and 2.6.9 Reported by: Barry Oosthuizen Issue no.: MDL-49204 Workaround: Disable messaging on site CVE identifier: CVE-2015-2266 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49204 ============================== ============================== ================== MSA-15-0011: Authentication in mdeploy can be bypassed Description: Theoretically possible to extract files anywhere on the system where the web server has write access. Although it is quite difficult to exploit since attacking user must know details about the system and already have significant permissions on the site. Issue summary: Authentication in mdeploy can be bypassed Severity/Risk: Serious Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier unsupported versions Versions fixed: 2.8.4, 2.7.6 and 2.6.9 Reported by: Frédéric Massart Issue no.: MDL-49087 Workaround: Delete the file mdeploy.php or prevent access to it in the web server config CVE identifier: CVE-2015-2267 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49087 ============================== ============================== ================== MSA-15-0012: ReDoS Possible with Convert links to URLs filter Description: Not optimal regular expression in the filter could be exploited to create extra server load or make particular page unavailable Issue summary: ReDoS Possible with Convert links to URLs filter Severity/Risk: Serious Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier unsupported versions Versions fixed: 2.8.4, 2.7.6 and 2.6.9 Reported by: Rob Issue no.: MDL-38466 Workaround: Disable links to URLs filter CVE identifier: CVE-2015-2268 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-38466 ============================== ============================== ================== MSA-15-0013: Block title not properly escaped and may cause HTML injection Description: It is possible to create HTML injection through blocks with configurable titles, however this could only be exploited by users who are already marked as XSS-trusted Issue summary: Block title not properly escaped and may cause HTML injection Severity/Risk: Minor Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier unsupported versions Versions fixed: 2.8.4, 2.7.6 and 2.6.9 Reported by: Gjoko Krstic Issue no.: MDL-49144 CVE identifier: CVE-2015-2269 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49144 ============================== ============================== ================== MSA-15-0014: Potential information disclosure for the inaccessible courses Description: For the custom themes that use blocks regions in the base layout the blocks for inaccessible courses could be displayed together with sensible course-related information. Majority of the themes, including all standard Moodle themes, are not affected. Issue summary: Guest user can see course information they should not be able to via require_login Severity/Risk: Minor Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier unsupported versions Versions fixed: 2.8.4, 2.7.6 and 2.6.9 Reported by: Sam Hemelryk Issue no.: MDL-48804 CVE identifier: CVE-2015-2270 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48804 ============================== ============================== ================== MSA-15-0015: User without proper permission is able to mark the tag as inappropriate Description: Very minor case of not respecting capability, it does not affect majority of sites since this capability is given to authenticated users by default Issue summary: Capability moodle/tag:flag not observed Severity/Risk: Minor Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier unsupported versions Versions fixed: 2.8.4, 2.7.6 and 2.6.9 Reported by: Frédéric Massart Issue no.: MDL-49084 CVE identifier: CVE-2015-2271 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49084 ============================== ============================== ================== MSA-15-0016: Web services token can be created for user with temporary password Description: Even when user's password is forced to be changed on login, user could still use it for authentication in order to create the web service token and therefore extend the life of the temporary password via web services. Issue summary: login/token.php does not check if auth_forcepasswordchange is on for the user Severity/Risk: Serious Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier unsupported versions Versions fixed: 2.8.4, 2.7.6 and 2.6.9 Reported by: Juan Leyva Issue no.: MDL-48691 CVE identifier: CVE-2015-2272 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-48691 ============================== ============================== ================== MSA-15-0017: XSS in quiz statistics report Description: Quiz statistics report did not properly escape student responses and could be used for XSS attack Issue summary: XSS in quiz statistics report Severity/Risk: Minor Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier unsupported versions Versions fixed: 2.8.4, 2.7.6 and 2.6.9 Reported by: Tim Hunt Issue no.: MDL-49364 CVE identifier: CVE-2015-2273 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-49364 ============================== ============================== ==================
A ver que depara esta alianza y que novedades van surgiendo.
Y hasta aquí esta entrada sobre Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles
ENLACES RELACIONADOS
MOODLE
ENLACES EXTERNOS
MOODLE - https://www.MOODLE.org
DIÁLOGO ABIERTO
Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Estas utilizando moodle como administrador? ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos. Hasta el próximo artículo...
¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...