martes, 10 de enero de 2017

#AW387 DISPONIBLE: Moodle 3.2.1, 3.1.4, 3.0.8 and 2.7.18 are now available

 




Aprovecho para pasaros una copia del aviso de los administradores de moodle sobre las nuevas actualizaciones de esta aplicación web para LMS.


Un mensaje para los administradores de Moodle registrados

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no será leído.
Estoy escribiendo hoy para hacerle saber que Moodle 3.2.1, 3.1.4, 3.0.8 y 2.7.18 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.

Temas de seguridad

Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que las hayamos publicado más ampliamente en https://moodle.org/security en una semana. Usted será capaz de encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con cada vez más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle 
================================================== ============================

MSA-17-0001: Sistema de inclusión de archivo cuando se añade propio archivo preestablecido en el tema Boost

Descripción: Es posible leer un archivo del sistema al tratar de incluir
                   en el tema de impulso preestablecido. Esto sólo puede ser explotada por
                   administradores de Moodle y sólo es potencialmente peligroso en el revelador
                   modo de depuración.
Emisión Resumen: Sistema de archivo de inclusión cuando se añade propio archivo preestablecido (Boost
                   tema)
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2
Las versiones fijas: 3.2.1
Informado por: Frédéric Massart
Emitir ningún .: MDL-56992
Solución: Definir $ CFG-> debugdisplay = 0; y $ CFG-> debug = 0; en
                   config.php se aplica hasta que la solución
CVE identificador: -
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56992

================================================== ============================
MSA-17-0002: el saneamiento incorrecta de los atributos en los foros

Descripción: mensaje Foro autor puede cambiar demasiados campos durante la edición
                   el cargo
Resumen tema: el saneamiento incorrecta de los atributos
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2, 3.1 a 3.1.3, 3.0 a 3.0.7, 2.9 a 2.9.9, 2.8 a
                   2.8.12, 2.7 a 2.7.17 y versiones anteriores no compatibles
Versiones fijas: 3.2.1, 3.1.4, 3.0.8 y 2.7.17
Informado por: Anshul Jain
Emitir ningún .: MDL-56225
CVE identificador: CVE-2017-2576
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56225

================================================== ============================
MSA-17 hasta 0003: vulnerabilidad PHPMailer en dirección de la no-respuesta

Descripción: Fallo de seguridad se informó en contra PHPMailer,
                   biblioteca de terceros utilizado por Moodle. Como resultado Moodle
                   mejora de validación de dirección de la no-respuesta (que sólo puede haber
                   configurado por el administrador), todos los demás campos ya estaban
                   saneado correctamente. Este problema sólo afecta a los sitios que dejan
                   $ CFG-> smtphosts vacía.
Resumen Edición: Atender las vulnerabilidades en los últimos 5.2.x PHPMailer
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2, 3.1 a 3.1.3, 3.0 a 3.0.7, 2.9 a 2.9.9, 2.8 a
                   2.8.12, 2.7 a 2.7.17 y versiones anteriores no compatibles
Versiones fijas: 3.2.1, 3.1.4, 3.0.8 y 2.7.17
Informado por: Matteo Scaramuccia
Emitir ningún .: MDL-57531
Solución: Definir $ CFG-> noreplyaddress y $ CFG-> supportemail en
                   config.php
CVE identificador: CVE-2016 a 10045 (PHPMailer)
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57531

================================================== ============================
MSA-17 a 0004: XSS en la página de envío de la asignación

Descripción: inyección de HTML con un potencial ataque XSS fue posible gracias
                   modificar el URL para su presentación misiones y engañando
                   otro usuario en siguiéndolo
Resumen Edición: XSS en la página de envío de la asignación
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2 y 3.1 a 3.1.3
Las versiones fijas: 3.2.1 y 3.1.4 (también portado a 2.7.17 y 3.0.8 como una
                   precaución)
Informado por: Hace Luberg y Wael AbuSeada
Emitir ningún .: MDL-57580
CVE identificador: solicitada, pero aún no ha recibido
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57580

================================================== ============================
2017-01-09 3:57 GMT+01:00 Moodle Security Alerts <securityalerts@moodle.org>:

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 3.2.1, 3.1.4, 3.0.8 and 2.7.18 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
==============================================================================

MSA-17-0001: System file inclusion when adding own preset file in Boost theme

Description:       It is possible to read a system file by trying to include
                   it in boost theme preset. This can only be exploited by
                   moodle admins and only potentially dangerous in developer
                   debugging mode.
Issue summary:     System file inclusion when adding own preset file (Boost
                   theme)
Severity/Risk:     Minor
Versions affected: 3.2
Versions fixed:    3.2.1
Reported by:       Frédéric Massart
Issue no.:         MDL-56992
Workaround:        Define $CFG->debugdisplay=0; and $CFG->debug=0; in
                   config.php until the fix is applied
CVE identifier:    -
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56992

==============================================================================
MSA-17-0002: Incorrect sanitation of attributes in forums

Description:       Forum post author can change too many fields when editing
                   the post
Issue summary:     Incorrect sanitation of attributes
Severity/Risk:     Minor
Versions affected: 3.2, 3.1 to 3.1.3, 3.0 to 3.0.7, 2.9 to 2.9.9, 2.8 to
                   2.8.12, 2.7 to 2.7.17 and earlier unsupported versions
Versions fixed:    3.2.1, 3.1.4, 3.0.8 and 2.7.17
Reported by:       Anshul Jain
Issue no.:         MDL-56225
CVE identifier:    CVE-2017-2576
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56225

==============================================================================
MSA-17-0003: PHPMailer vulnerability in no-reply address

Description:       Security vulnerability was reported against PHPMailer,
                   third party library used by Moodle. As a result Moodle
                   improved validation of no-reply address (that can only be
                   configured by admin), all other fields were already
                   properly sanitized. This issue only affect sites that leave
                   $CFG->smtphosts empty.
Issue summary:     Address the vulnerabilities in recent PHPMailer 5.2.x
Severity/Risk:     Minor
Versions affected: 3.2, 3.1 to 3.1.3, 3.0 to 3.0.7, 2.9 to 2.9.9, 2.8 to
                   2.8.12, 2.7 to 2.7.17 and earlier unsupported versions
Versions fixed:    3.2.1, 3.1.4, 3.0.8 and 2.7.17
Reported by:       Matteo Scaramuccia
Issue no.:         MDL-57531
Workaround:        Define $CFG->noreplyaddress and $CFG->supportemail in
                   config.php
CVE identifier:    CVE-2016-10045 (PHPMailer)
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57531

==============================================================================
MSA-17-0004: XSS in assignment submission page

Description:       HTML injection with potential XSS attack was possible by
                   modifying URL for assignment submission and tricking
                   another user into following it
Issue summary:     XSS in assignment submission page
Severity/Risk:     Minor
Versions affected: 3.2 and 3.1 to 3.1.3
Versions fixed:    3.2.1 and 3.1.4 (also backported to 2.7.17 and 3.0.8 as a
                   precaution)
Reported by:       Ago Luberg and Wael AbuSeada
Issue no.:         MDL-57580
CVE identifier:    Requested but not yet received
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57580

==============================================================================



Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

LinkWithin

Related Posts Plugin for WordPress, Blogger...