Un mensaje para los administradores de Moodle registrados
Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este mensaje porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no serán leídos.Estoy escribiendo hoy para hacerle saber que Moodle 3.2.3, 3.1.6, 3.0.10 y 2.7.20 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.
- Moodle 3.2.3 notas de la versión
- Moodle 3.1.6 notas de la versión
- Moodle 3.0.10 notas de liberación
- Moodle 2.7.20 notas de liberación
Temas de seguridad
Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que los hayamos publicado más ampliamente en https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle
================================================== ============================ MSA-17-0010: adquisición edición de blogs externa Descripción: El usuario puede editar blog enlace externo de otra persona. los la propiedad del blog sería cambiado al usuario actual, por lo tanto, poner en peligro a otras personas no era posible Resumen tema: adquisición edición de blogs externa Severidad / Riesgo: Menor Las versiones afectadas: 3.2 a 3.2.2, 3.1.5 a 3.1, 3.0 a 3.0.9, 2.7 hasta 2.7.19 y otras versiones no soportadas Versiones fijas: 3.2.3, 3.1.6, 3.0.10 y 2.7.20 Informado por: Vuk Ivanovic Emitir no .: MDL-58635 CVE identificador: CVE-2017-7489 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-58635 ============================== ==================== ============================ MSA-17-0011: Búsquedas de blogs posibles sin capacidad para hacerlo Descripción: Capacidad para buscar blogs no se comprobó adecuadamente lo que resulta en que los usuarios sean capaces de buscar blogs sin permiso Resumen tema: Los usuarios pueden buscar blogs escribiendo URL completa en la barra de direcciones incluso con la capacidad moodle / blog: buscar retirado de su papel Severidad / Riesgo: Menor Las versiones afectadas: 3.2 a 3.2.2, 3.1.5 a 3.1, 3.0 a 3.0.9, 2.7 hasta 2.7.19 y otras versiones no soportadas Versiones fijas: 3.2.3, 3.1.6, 3.0.10 y 2.7.20 Informado por: Daniel Kosinski Emitir no .: MDL-58670 CVE identificador: CVE-2017-7490 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-58670 ============================== ==================== ============================ MSA-17-0012: CSRF en el número de cursos que se muestran en el bloque de resumen del curso Descripción: El cambio de enlace de las preferencias del usuario de cómo muchos cursos a ver en su bloque de resumen del curso no estaba protegido contra CSRF. Esto representa un problema de seguridad menor, ya que no se puede aprovechar para el beneficio de nadie, sólo para crear confusiones Resumen tema: CSRF en mi / index.php Severidad / Riesgo: Menor Las versiones afectadas: 3.2 a 3.2.2, 3.1.5 a 3.1, 3.0 a 3.0.9, 2.7 hasta 2.7.19 y otras versiones no soportadas Versiones fijas: 3.2.3, 3.1.6, 3.0.10 y 2.7.20 Informado por: Lukas Schmidt Emitir no .: MDL-58740 CVE identificador: CVE-2017-7491 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-58740 ============================== ==================== ============================ MSA-17-0013: Falta de comprobación de permisos al añadir archivos adjuntos de correos en el foro Servicios web Descripción: Los usuarios sin la capacidad para agregar datos adjuntos a mensajes en el foro fueron capaces de hacerlo a través de servicios web. Este servicio Web utilizado en la aplicación móvil. Resumen tema: Foro Servicios Artículos Web debe comprobar si el usuario tiene permisos para agregar datos adjuntos Severidad / Riesgo: Menor Las versiones afectadas: 3.2 a 3.2.2 y 3.1 a 3.1.5 Las versiones fijas: 3.2.3 y 3.1.6 Informado por: Juan Leyva Emitir no .: MDL-58259 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-58259 ============================== ==================== ============================
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 3.2.3, 3.1.6, 3.0.10 and 2.7.20 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.
- Moodle 3.2.3 release notes
- Moodle 3.1.6 release notes
- Moodle 3.0.10 release notes
- Moodle 2.7.20 release notes
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
============================================================ ================== MSA-17-0010: External blog editing takeover Description: User could edit somebody else's external blog link. The ownership of the blog would be changed to the current user, therefore compromising other people was not possible Issue summary: External blog editing takeover Severity/Risk: Minor Versions affected: 3.2 to 3.2.2, 3.1 to 3.1.5, 3.0 to 3.0.9, 2.7 to 2.7.19 and other unsupported versions Versions fixed: 3.2.3, 3.1.6, 3.0.10 and 2.7.20 Reported by: Vuk Ivanovic Issue no.: MDL-58635 CVE identifier: CVE-2017-7489 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-58635 ============================== ============================== ================== MSA-17-0011: Searching of blogs possible without capability to do it Description: Capability to search blogs was not checked properly resulting in users being able to search blogs without permission Issue summary: Users can search blogs by typing full url in address bar even with capability moodle/blog:search removed from their role Severity/Risk: Minor Versions affected: 3.2 to 3.2.2, 3.1 to 3.1.5, 3.0 to 3.0.9, 2.7 to 2.7.19 and other unsupported versionsEsperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Estas en ? ¿Y en ? ¿Has relacionado ambas cuentas? ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos. Hasta el próximo artículo... ¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla... Versions fixed: 3.2.3, 3.1.6, 3.0.10 and 2.7.20 Reported by: Daniel Kosinski Issue no.: MDL-58670 CVE identifier: CVE-2017-7490 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-58670 ============================== ============================== ================== MSA-17-0012: CSRF in number of courses displayed in the course overview block Description: The link changing user preference of how many courses to see in their course overview block was not protected against CSRF. This represents a minor security issue since it can't be exploited for anybody's benefit, only to create confusions Issue summary: CSRF on my/index.php Severity/Risk: Minor Versions affected: 3.2 to 3.2.2, 3.1 to 3.1.5, 3.0 to 3.0.9, 2.7 to 2.7.19 and other unsupported versions Versions fixed: 3.2.3, 3.1.6, 3.0.10 and 2.7.20 Reported by: Lukas Schmidt Issue no.: MDL-58740 CVE identifier: CVE-2017-7491 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-58740 ============================== ============================== ================== MSA-17-0013: Missing permission check when adding forum post attachments in Web Services Description: Users without capability to add attachment to forum posts were able to do it via Web Services. This Web Service is used in mobile app. Issue summary: Forum post Web Services should check if the user has permissions to add attachments Severity/Risk: Minor Versions affected: 3.2 to 3.2.2 and 3.1 to 3.1.5 Versions fixed: 3.2.3 and 3.1.6 Reported by: Juan Leyva Issue no.: MDL-58259 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-58259 ============================== ============================== ==================
