miércoles, 24 de mayo de 2017

#AW391 MOODLE: Administradores

Un mensaje para los administradores de Moodle registrados

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este mensaje porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no serán leídos.
Estoy escribiendo hoy para hacerle saber que Moodle 3.2.3, 3.1.6, 3.0.10 y 2.7.20 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.
soporte de seguridad para las versiones 3.0 y 2.7 ha finalizado ya. Moodle 3.3 se dará a conocer la próxima semana.

Temas de seguridad

Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que los hayamos publicado más ampliamente en https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle
================================================== ============================
MSA-17-0010: adquisición edición de blogs externa

Descripción: El usuario puede editar blog enlace externo de otra persona. los
                   la propiedad del blog sería cambiado al usuario actual,
                   por lo tanto, poner en peligro a otras personas no era posible
Resumen tema: adquisición edición de blogs externa
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2 a 3.2.2, 3.1.5 a 3.1, 3.0 a 3.0.9, 2.7 hasta 2.7.19 y
                   otras versiones no soportadas
Versiones fijas: 3.2.3, 3.1.6, 3.0.10 y 2.7.20
Informado por: Vuk Ivanovic
Emitir no .: MDL-58635
CVE identificador: CVE-2017-7489
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-58635

================================================== ============================
MSA-17-0011: Búsquedas de blogs posibles sin capacidad para hacerlo

Descripción: Capacidad para buscar blogs no se comprobó adecuadamente
                   lo que resulta en que los usuarios sean capaces de buscar blogs sin
                   permiso
Resumen tema: Los usuarios pueden buscar blogs escribiendo URL completa en la barra de direcciones
                   incluso con la capacidad moodle / blog: buscar retirado de su
                   papel
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2 a 3.2.2, 3.1.5 a 3.1, 3.0 a 3.0.9, 2.7 hasta 2.7.19 y
                   otras versiones no soportadas
Versiones fijas: 3.2.3, 3.1.6, 3.0.10 y 2.7.20
Informado por: Daniel Kosinski
Emitir no .: MDL-58670
CVE identificador: CVE-2017-7490
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-58670

================================================== ============================
MSA-17-0012: CSRF en el número de cursos que se muestran en el bloque de resumen del curso

Descripción: El cambio de enlace de las preferencias del usuario de cómo muchos cursos a
                   ver en su bloque de resumen del curso no estaba protegido
                   contra CSRF. Esto representa un problema de seguridad menor, ya
                   que no se puede aprovechar para el beneficio de nadie, sólo para crear
                   confusiones
Resumen tema: CSRF en mi / index.php
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2 a 3.2.2, 3.1.5 a 3.1, 3.0 a 3.0.9, 2.7 hasta 2.7.19 y
                   otras versiones no soportadas
Versiones fijas: 3.2.3, 3.1.6, 3.0.10 y 2.7.20
Informado por: Lukas Schmidt
Emitir no .: MDL-58740
CVE identificador: CVE-2017-7491
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-58740

================================================== ============================
MSA-17-0013: Falta de comprobación de permisos al añadir archivos adjuntos de correos en el foro
Servicios web

Descripción: Los usuarios sin la capacidad para agregar datos adjuntos a mensajes en el foro
                   fueron capaces de hacerlo a través de servicios web. Este servicio Web
                   utilizado en la aplicación móvil.
Resumen tema: Foro Servicios Artículos Web debe comprobar si el usuario tiene
                   permisos para agregar datos adjuntos
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2 a 3.2.2 y 3.1 a 3.1.5
Las versiones fijas: 3.2.3 y 3.1.6
Informado por: Juan Leyva
Emitir no .: MDL-58259
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-58259

================================================== ============================ 

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 3.2.3, 3.1.6, 3.0.10 and 2.7.20 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.
Security support for versions 3.0 and 2.7 has now ended. Moodle 3.3 will be released next week.

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ

==============================================================================
MSA-17-0010: External blog editing takeover

Description:       User could edit somebody else's external blog link. The
                   ownership of the blog would be changed to the current user,
                   therefore compromising other people was not possible
Issue summary:     External blog editing takeover
Severity/Risk:     Minor
Versions affected: 3.2 to 3.2.2, 3.1 to 3.1.5, 3.0 to 3.0.9, 2.7 to 2.7.19 and
                   other unsupported versions
Versions fixed:    3.2.3, 3.1.6, 3.0.10 and 2.7.20
Reported by:       Vuk Ivanovic
Issue no.:         MDL-58635
CVE identifier:    CVE-2017-7489
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-58635

==============================================================================
MSA-17-0011: Searching of blogs possible without capability to do it

Description:       Capability to search blogs was not checked properly
                   resulting in users being able to search blogs without
                   permission
Issue summary:     Users can search blogs by typing full url in address bar
                   even with capability moodle/blog:search removed from their
                   role
Severity/Risk:     Minor
Versions affected: 3.2 to 3.2.2, 3.1 to 3.1.5, 3.0 to 3.0.9, 2.7 to 2.7.19 and
                   other unsupported versionsEsperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si
 te ha gustado esta entrada? ¿Estas en ? ¿Y en ? ¿Has relacionado ambas 
cuentas? ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos. Hasta el 
próximo artículo... 

 ¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...
Versions fixed:    3.2.3, 3.1.6, 3.0.10 and 2.7.20
Reported by:       Daniel Kosinski
Issue no.:         MDL-58670
CVE identifier:    CVE-2017-7490
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-58670

==============================================================================
MSA-17-0012: CSRF in number of courses displayed in the course overview block

Description:       The link changing user preference of how many courses to
                   see in their course overview block was not protected
                   against CSRF. This represents a minor security issue since
                   it can't be exploited for anybody's benefit, only to create
                   confusions
Issue summary:     CSRF on my/index.php
Severity/Risk:     Minor
Versions affected: 3.2 to 3.2.2, 3.1 to 3.1.5, 3.0 to 3.0.9, 2.7 to 2.7.19 and
                   other unsupported versions
Versions fixed:    3.2.3, 3.1.6, 3.0.10 and 2.7.20
Reported by:       Lukas Schmidt
Issue no.:         MDL-58740
CVE identifier:    CVE-2017-7491
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-58740

==============================================================================
MSA-17-0013: Missing permission check when adding forum post attachments in
Web Services

Description:       Users without capability to add attachment to forum posts
                   were able to do it via Web Services. This Web Service is
                   used in mobile app.
Issue summary:     Forum post Web Services should check if the user has
                   permissions to add attachments
Severity/Risk:     Minor
Versions affected: 3.2 to 3.2.2 and 3.1 to 3.1.5
Versions fixed:    3.2.3 and 3.1.6
Reported by:       Juan Leyva
Issue no.:         MDL-58259
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-58259

==============================================================================

No hay comentarios:

Publicar un comentario

LinkWithin

Related Posts Plugin for WordPress, Blogger...