Aprovecho para pasaros una copia del aviso de los administradores de moodle sobre las nuevas actualizaciones de esta aplicación web para LMS. |
Un mensaje para los administradores de Moodle registrados
Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no será leído.Estoy escribiendo hoy para hacerle saber que Moodle 3.2.1, 3.1.4, 3.0.8 y 2.7.18 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.
- Moodle 3.2.1 notas de la versión
- Moodle 3.1.4 notas de la versión
- Moodle 3.0.8 notas de la versión
- Moodle 2.7.18 notas de liberación
Temas de seguridad
Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que las hayamos publicado más ampliamente en https://moodle.org/security en una semana. Usted será capaz de encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con cada vez más personas que participan todo el tiempo.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle
================================================== ============================
MSA-17-0001: Sistema de inclusión de archivo cuando se añade propio archivo preestablecido en el tema Boost Descripción: Es posible leer un archivo del sistema al tratar de incluir en el tema de impulso preestablecido. Esto sólo puede ser explotada por administradores de Moodle y sólo es potencialmente peligroso en el revelador modo de depuración. Emisión Resumen: Sistema de archivo de inclusión cuando se añade propio archivo preestablecido (Boost tema) Severidad / Riesgo: Menor Las versiones afectadas: 3.2 Las versiones fijas: 3.2.1 Informado por: Frédéric Massart Emitir ningún .: MDL-56992 Solución: Definir $ CFG-> debugdisplay = 0; y $ CFG-> debug = 0; en config.php se aplica hasta que la solución CVE identificador: - Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st= commit&s=MDL-56992 ============================== ==================== ============================ MSA-17-0002: el saneamiento incorrecta de los atributos en los foros Descripción: mensaje Foro autor puede cambiar demasiados campos durante la edición el cargo Resumen tema: el saneamiento incorrecta de los atributos Severidad / Riesgo: Menor Las versiones afectadas: 3.2, 3.1 a 3.1.3, 3.0 a 3.0.7, 2.9 a 2.9.9, 2.8 a 2.8.12, 2.7 a 2.7.17 y versiones anteriores no compatibles Versiones fijas: 3.2.1, 3.1.4, 3.0.8 y 2.7.17 Informado por: Anshul Jain Emitir ningún .: MDL-56225 CVE identificador: CVE-2017-2576 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-56225 ============================== ==================== ============================ MSA-17 hasta 0003: vulnerabilidad PHPMailer en dirección de la no-respuesta Descripción: Fallo de seguridad se informó en contra PHPMailer, biblioteca de terceros utilizado por Moodle. Como resultado Moodle mejora de validación de dirección de la no-respuesta (que sólo puede haber configurado por el administrador), todos los demás campos ya estaban saneado correctamente. Este problema sólo afecta a los sitios que dejan $ CFG-> smtphosts vacía. Resumen Edición: Atender las vulnerabilidades en los últimos 5.2.x PHPMailer Severidad / Riesgo: Menor Las versiones afectadas: 3.2, 3.1 a 3.1.3, 3.0 a 3.0.7, 2.9 a 2.9.9, 2.8 a 2.8.12, 2.7 a 2.7.17 y versiones anteriores no compatibles Versiones fijas: 3.2.1, 3.1.4, 3.0.8 y 2.7.17 Informado por: Matteo Scaramuccia Emitir ningún .: MDL-57531 Solución: Definir $ CFG-> noreplyaddress y $ CFG-> supportemail en config.php CVE identificador: CVE-2016 a 10045 (PHPMailer) Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-57531 ============================== ==================== ============================ MSA-17 a 0004: XSS en la página de envío de la asignación Descripción: inyección de HTML con un potencial ataque XSS fue posible gracias modificar el URL para su presentación misiones y engañando otro usuario en siguiéndolo Resumen Edición: XSS en la página de envío de la asignación Severidad / Riesgo: Menor Las versiones afectadas: 3.2 y 3.1 a 3.1.3 Las versiones fijas: 3.2.1 y 3.1.4 (también portado a 2.7.17 y 3.0.8 como una precaución) Informado por: Hace Luberg y Wael AbuSeada Emitir ningún .: MDL-57580 CVE identificador: solicitada, pero aún no ha recibido Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-57580 ============================== ==================== ============================
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 3.2.1, 3.1.4, 3.0.8 and 2.7.18 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.
- Moodle 3.2.1 release notes
- Moodle 3.1.4 release notes
- Moodle 3.0.8 release notes
- Moodle 2.7.18 release notes
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
============================================================ ==================
MSA-17-0001: System file inclusion when adding own preset file in Boost theme Description: It is possible to read a system file by trying to include it in boost theme preset. This can only be exploited by moodle admins and only potentially dangerous in developer debugging mode. Issue summary: System file inclusion when adding own preset file (Boost theme) Severity/Risk: Minor Versions affected: 3.2 Versions fixed: 3.2.1 Reported by: Frédéric Massart Issue no.: MDL-56992 Workaround: Define $CFG->debugdisplay=0; and $CFG->debug=0; in config.php until the fix is applied CVE identifier: - Changes (master): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=com mit&s=MDL-56992 ============================== ============================== ================== MSA-17-0002: Incorrect sanitation of attributes in forums Description: Forum post author can change too many fields when editing the post Issue summary: Incorrect sanitation of attributes Severity/Risk: Minor Versions affected: 3.2, 3.1 to 3.1.3, 3.0 to 3.0.7, 2.9 to 2.9.9, 2.8 to 2.8.12, 2.7 to 2.7.17 and earlier unsupported versions Versions fixed: 3.2.1, 3.1.4, 3.0.8 and 2.7.17 Reported by: Anshul Jain Issue no.: MDL-56225 CVE identifier: CVE-2017-2576 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-56225 ============================== ============================== ================== MSA-17-0003: PHPMailer vulnerability in no-reply address Description: Security vulnerability was reported against PHPMailer, third party library used by Moodle. As a result Moodle improved validation of no-reply address (that can only be configured by admin), all other fields were already properly sanitized. This issue only affect sites that leave $CFG->smtphosts empty. Issue summary: Address the vulnerabilities in recent PHPMailer 5.2.x Severity/Risk: Minor Versions affected: 3.2, 3.1 to 3.1.3, 3.0 to 3.0.7, 2.9 to 2.9.9, 2.8 to 2.8.12, 2.7 to 2.7.17 and earlier unsupported versions Versions fixed: 3.2.1, 3.1.4, 3.0.8 and 2.7.17 Reported by: Matteo Scaramuccia Issue no.: MDL-57531 Workaround: Define $CFG->noreplyaddress and $CFG->supportemail in config.php CVE identifier: CVE-2016-10045 (PHPMailer) Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-57531 ============================== ============================== ================== MSA-17-0004: XSS in assignment submission page Description: HTML injection with potential XSS attack was possible by modifying URL for assignment submission and tricking another user into following it Issue summary: XSS in assignment submission page Severity/Risk: Minor Versions affected: 3.2 and 3.1 to 3.1.3 Versions fixed: 3.2.1 and 3.1.4 (also backported to 2.7.17 and 3.0.8 as a precaution) Reported by: Ago Luberg and Wael AbuSeada Issue no.: MDL-57580 CVE identifier: Requested but not yet received Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-57580 ============================== ============================== ==================