Moodle 3.4.1, 3.3.4, 3.2.7 y 3.1.10 están ahora disponibles
Un mensaje para los administradores de Moodle registrados
Este
correo electrónico va a muchos miles de administradores de Moodle
registrados. Usted está recibiendo este mensaje porque usted pidió
Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no
desea que estos mensajes de correo electrónico, por favor, vuelva a
registrar su sitio con sus nuevas preferencias o utilizar el siguiente
enlace para darse de baja. Las respuestas a este correo electrónico no
serán leídos.
Estoy escribiendo hoy para hacerle saber que
Moodle 3.4.1, 3.3.4, 3.2.7 y 3.1.10 están disponibles a través de los
canales habituales de descarga abierta:
https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.
Temas de seguridad
Así como una larga lista de correcciones de errores, mejoras de
rendimiento y de pulido, hay problemas de seguridad que debe tener en
cuenta. Los detalles de estos problemas de seguridad se enumeran a
continuación.
Como administrador de Moodle registrada que le
estamos dando aviso anticipado de estas cuestiones para que tenga algo
de tiempo para solucionarlos antes de que los hayamos publicado más
ampliamente en
https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar
sus sitios a la última versión de Moodle tan pronto como sea posible. Si
no se puede actualizar, por favor, compruebe la lista siguiente con
cuidado y parchear su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de
informes y las cuestiones de fijación. Realmente es un esfuerzo de
equipo y uno con más y más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
HQ Moodle
================================================== ============================
MSA-18-0001: Solicitud del Servidor lateral Falsificación en el filepicker
Descripción: Al sustituir la URL de origen en el AJAX filepicker
solicitud autenticada usuarios son capaces de recuperar y visualizar
cualquier URL. Clasificamos este problema tan serio porque algunos
los proveedores de alojamiento en la nube contener recursos internos que pueden
exponer los datos y poner en peligro un servidor
Resumen tema: Solicitud del Servidor lateral Falsificación de
/repository/repository_ajax.php (Crítica para alojados en las nubes
Las instancias de Moodle)
Severidad / Riesgo: Grave
Las versiones afectadas: 3.4, 3.3 a 3.3.3, 3.2.6 a 3.2, 3.1 a 3.1.9 y anteriores
versiones no soportadas
Versiones fijas: 3.4.1, 3.3.4, 3.2.7 y 3.1.10
Informado por: Thomas Voss
Emitir no .: MDL-61131
CVE identificador: CVE-2018-1042
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61131
================================================== ============================
MSA-18-0002: Configuración de la lista de anfitriones bloqueados pueden ser anuladas con múltiples Un
los nombres de host de registro
Descripción: "Lista de cURL bloqueado anfitriones" entorno Moodle se introdujo en
Moodle 3.2 para impedir el acceso a direcciones específicas (por lo general
interno) cuando el servidor recupera URL solicitadas por el usuario.
PoC se presentó la manera de eludir esta restricción mediante el uso de una
registro DNS que devuelve varios registros para un nombre de host.
Resumen tema: curlsecurityblockedhosts pueden ser anuladas con múltiples Un
los nombres de host de registro
Severidad / Riesgo: Menor
Las versiones afectadas: 3.4, 3.3 y 3.2 a 3.3.3 a 3.2.6
Versiones fijas: 3.4.1, 3.3.4 y 3.2.7
Informado por: Jordan Tomkinson
Emitir no .: MDL-61143
CVE identificador: CVE-2018-1043
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61143
================================================== ============================
MSA-18-0003: Escalada de privilegios en los servicios web de concursos
Descripción: Cuestionario servicios web permiten a los estudiantes a ver resultados de la prueba cuando
está prohibido en la configuración. Este servicio web se utiliza
por la aplicación móvil
Resumen tema: Los estudiantes son capaces de ver resultados de la prueba en las aplicaciones para móviles
a pesar de que está prohibido en la configuración
Severidad / Riesgo: Menor
Las versiones afectadas: 3.4, 3.3 a 3.3.3, 3.2.6 y 3.2 a 3.1 a 3.1.9
Versiones fijas: 3.4.1, 3.3.4, 3.2.7 y 3.1.10
Informado por: Chirine Nassar
Emitir no .: MDL-60908
CVE identificador: CVE-2018-1044
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60908
================================================== ============================
MSA-18-0004: XSS en nombre de evento del calendario
Descripción: Es posible la ejecución de JavaScript en el nombre del evento en
el bloque de calendario. Normalmente capacidad de crear eventos es
sólo se da a los usuarios de confianza (como maestros), sin embargo,
No se marca como de riesgo XSS, por lo que es
considerado un problema de seguridad.
Resumen tema: XSS en el nombre del evento en block_calendar
Severidad / Riesgo: Menor
Las versiones afectadas: 3.3 a 3.3.3, 3.2.6 a 3.2, 3.1 a 3.1.9 y anteriores
versiones no soportadas
Versiones fijas: 3.3.4, 3.2.7 y 3.1.10
Informado por: Rubens Brandao
Emitir no .: MDL-60235
CVE identificador: CVE-2018-1045
Los cambios (3.3): https://git.moodle.org/gw?p=moodle.git&a=search&h=MOODLE_33_STABLE&st=commit&s=MDL-60235
================================================== ============================
Moodle 3.4.1, 3.3.4, 3.2.7 and 3.1.10 are now available
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle
admins. You are receiving this email because you asked for Moodle
security news when you registered a Moodle site. If you don't want these
emails then please re-register your site with your new preferences or
use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 3.4.1, 3.3.4, 3.2.7 and
3.1.10 are available via the usual open download channels:
https://download.moodle.org or Git.
Release notes are available for each new version.
Security Issues
As well as a long list of bug fixes, performance improvements and
polishing, there are security issues you should be aware of. Details of
these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of
these issues so you have some time to fix them before we publish them
more widely on
https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you
upgrade your sites to the latest Moodle version as soon as you can. If
you cannot upgrade, then please check the following list carefully and
patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing
issues. It really is a team effort and one with more and more people
involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Moodle HQ
==============================
================================================
MSA-18-0001: Server Side Request Forgery in the filepicker
Description: By substituting the source URL in the filepicker AJAX
request authenticated users are able to retrieve and view
any URL. We classify this issue as serious because some
cloud hosting providers contain internal resources that can
expose data and compromise a server
Issue summary: Server Side Request Forgery in
/repository/repository_ajax.
php (Critical for Cloud Hosted
Moodle Instances)
Severity/Risk: Serious
Versions affected: 3.4, 3.3 to 3.3.3, 3.2 to 3.2.6, 3.1 to 3.1.9 and earlier
unsupported versions
Versions fixed: 3.4.1, 3.3.4, 3.2.7 and 3.1.10
Reported by: Thomas DeVoss
Issue no.: MDL-61131
CVE identifier: CVE-2018-1042
Changes (master): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61131
==============================================================================
MSA-18-0002: Setting for blocked hosts list can be bypassed with multiple A
record hostnames
Description: Moodle setting "cURL blocked hosts list" was introduced in
Moodle 3.2 to prevent access to specific addresses (usually
internal) when server retrieves URLs requested by the user.
PoC was presented how to bypass this restriction by using a
DNS record that returns multiple A records for a hostname.
Issue summary: curlsecurityblockedhosts can be bypassed with multiple A
record hostnames
Severity/Risk: Minor
Versions affected: 3.4, 3.3 to 3.3.3 and 3.2 to 3.2.6
Versions fixed: 3.4.1, 3.3.4 and 3.2.7
Reported by: Jordan Tomkinson
Issue no.: MDL-61143
CVE identifier: CVE-2018-1043
Changes (master): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61143
==============================================================================
MSA-18-0003: Privilege escalation in quiz web services
Description: Quiz web services allow students to see quiz results when
it is prohibited in the settings. This web service is used
by the mobile app
Issue summary: Students are able to see quiz results in Mobile app
although it is prohibited in the settings
Severity/Risk: Minor
Versions affected: 3.4, 3.3 to 3.3.3, 3.2 to 3.2.6 and 3.1 to 3.1.9
Versions fixed: 3.4.1, 3.3.4, 3.2.7 and 3.1.10
Reported by: Chirine Nassar
Issue no.: MDL-60908
CVE identifier: CVE-2018-1044
Changes (master): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60908
==============================================================================
MSA-18-0004: XSS in calendar event name
Description: It is possible to inject javascript in the event name in
the calendar block. Normally capability to create events is
only given to trusted users (such as teachers), however it
is not marked as having XSS risk, therefore it is
considered a security issue.
Issue summary: XSS in event name in block_calendar
Severity/Risk: Minor
Versions affected: 3.3 to 3.3.3, 3.2 to 3.2.6, 3.1 to 3.1.9 and earlier
unsupported versions
Versions fixed: 3.3.4, 3.2.7 and 3.1.10
Reported by: Rubens Brandao
Issue no.: MDL-60235
CVE identifier: CVE-2018-1045
Changes (3.3): https://git.moodle.org/gw?p=moodle.git&a=search&h=MOODLE_33_STABLE&st=commit&s=MDL-60235
==============================
================================================
WordPress
WordPress.org o es.wordpress.com 
