Un mensaje para los administradores de Moodle registrados
Este
correo electrónico va a muchos miles de administradores de Moodle
registrados. Usted está recibiendo este mensaje porque usted pidió
Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no
desea que estos mensajes de correo electrónico, por favor, vuelva a
registrar su sitio con sus nuevas preferencias o utilizar el siguiente
enlace para darse de baja. Las respuestas a este correo electrónico no
serán leídos.
Estoy escribiendo hoy para hacerle saber que
Moodle 3.4, 3.3.3, 3.2.6 y 3.1.9 están disponibles a través de los
canales habituales de descarga abierta:
https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.
Temas de seguridad
Así como una larga lista de correcciones de errores, mejoras de
rendimiento y de pulido, hay problemas de seguridad que debe tener en
cuenta. Los detalles de estos problemas de seguridad se enumeran a
continuación.
Como administrador de Moodle registrada que le
estamos dando aviso anticipado de estas cuestiones para que tenga algo
de tiempo para solucionarlos antes de que los hayamos publicado más
ampliamente en
https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar
sus sitios a la última versión de Moodle tan pronto como sea posible. Si
no se puede actualizar, por favor, compruebe la lista siguiente con
cuidado y parchear su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de
informes y las cuestiones de fijación. Realmente es un esfuerzo de
equipo y uno con más y más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle
================================================== ============================
MSA-17 a 0021: Los estudiantes pueden encontrar direcciones de correo electrónico de otros estudiantes en el
mismo curso
Descripción: Uso de la búsqueda en los estudiantes participantes página podría buscar
direcciones de correo electrónico de todos los participantes, independientemente de correo electrónico
visibilidad. Esto permite a enumerar y mensajes de correo electrónico de la conjetura
otros estudiantes
Resumen tema: Los estudiantes pueden encontrar direcciones de correo electrónico de otros estudiantes que
establecer los suyos a "oculto"
Severidad / Riesgo: Menor
Las versiones afectadas: 3.3 a 3.3.2, 3.2.5 a 3.2, 3.1 a 3.1.8 y anteriores
versiones no soportadas
Versiones fijas: 3.4, 3.3.3, 3.2.6 y 3.1.9
Informado por: Tim Schroeder
Emitir no .: MDL-60550
Solución: Prohibir la capacidad de 'moodle / course: viewparticipants' (Ver
participantes) para el papel del estudiante hasta que se realice el acondicionamiento de Moodle
CVE identificador: CVE-2017 hasta 15110
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60550
================================================== ============================
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle
admins. You are receiving this email because you asked for Moodle
security news when you registered a Moodle site. If you don't want these
emails then please re-register your site with your new preferences or
use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 3.4, 3.3.3, 3.2.6 and 3.1.9 are available via the usual open download channels:
https://download.moodle.org or Git.
Release notes are available for each new version.
Security Issues
As well as a long list of bug fixes, performance improvements and
polishing, there are security issues you should be aware of. Details of
these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of
these issues so you have some time to fix them before we publish them
more widely on
https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you
upgrade your sites to the latest Moodle version as soon as you can. If
you cannot upgrade, then please check the following list carefully and
patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing
issues. It really is a team effort and one with more and more people
involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
==============================================================================
MSA-17-0021: Students can find out email addresses of other students in the
same course
Description: Using search on Participants page students could search
email addresses of all participants regardless of email
visibility. This allows to enumerate and guess emails of
other students
Issue summary: Students can find out email addresses of other students who
set theirs to "hidden"
Severity/Risk: Minor
Versions affected: 3.3 to 3.3.2, 3.2 to 3.2.5, 3.1 to 3.1.8 and earlier
unsupported versions
Versions fixed: 3.4, 3.3.3, 3.2.6 and 3.1.9
Reported by: Tim Schroeder
Issue no.: MDL-60550
Workaround: Prohibit capability 'moodle/course:viewparticipants' (View
participants) for Student role until Moodle is upgraded
CVE identifier: CVE-2017-15110
Changes (master): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60550
==============================================================================
Gamificación
www.lindacastaneda.com
