#AW406 Moodle 3.4.1 are now available

Moodle 3.4.1, 3.3.4, 3.2.7 y 3.1.10 están ahora disponibles

Un mensaje para los administradores de Moodle registrados

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este mensaje porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no serán leídos.
Estoy escribiendo hoy para hacerle saber que Moodle 3.4.1, 3.3.4, 3.2.7 y 3.1.10 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.

• Moodle 3.4.1 notas de la versión
• Moodle 3.3.4 notas de la versión
• Moodle 3.2.7 notas de la versión
• Moodle 3.1.10 notas de liberación

Temas de seguridad

Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que los hayamos publicado más ampliamente en https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
HQ Moodle

 ================================================== ============================

 MSA-18-0001: Solicitud del Servidor lateral Falsificación en el filepicker

Descripción: Al sustituir la URL de origen en el AJAX filepicker
                   solicitud autenticada usuarios son capaces de recuperar y visualizar
                   cualquier URL. Clasificamos este problema tan serio porque algunos
                   los proveedores de alojamiento en la nube contener recursos internos que pueden
                   exponer los datos y poner en peligro un servidor
Resumen tema: Solicitud del Servidor lateral Falsificación de
                   /repository/repository_ajax.php (Crítica para alojados en las nubes
                   Las instancias de Moodle)
Severidad / Riesgo: Grave
Las versiones afectadas: 3.4, 3.3 a 3.3.3, 3.2.6 a 3.2, 3.1 a 3.1.9 y anteriores
                   versiones no soportadas
Versiones fijas: 3.4.1, 3.3.4, 3.2.7 y 3.1.10
Informado por: Thomas Voss
Emitir no .: MDL-61131
CVE identificador: CVE-2018-1042
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61131

================================================== ============================
MSA-18-0002: Configuración de la lista de anfitriones bloqueados pueden ser anuladas con múltiples Un
los nombres de host de registro

Descripción: "Lista de cURL bloqueado anfitriones" entorno Moodle se introdujo en
                   Moodle 3.2 para impedir el acceso a direcciones específicas (por lo general
                   interno) cuando el servidor recupera URL solicitadas por el usuario.
                   PoC se presentó la manera de eludir esta restricción mediante el uso de una
                   registro DNS que devuelve varios registros para un nombre de host.
Resumen tema: curlsecurityblockedhosts pueden ser anuladas con múltiples Un
                   los nombres de host de registro
Severidad / Riesgo: Menor
Las versiones afectadas: 3.4, 3.3 y 3.2 a 3.3.3 a 3.2.6
Versiones fijas: 3.4.1, 3.3.4 y 3.2.7
Informado por: Jordan Tomkinson
Emitir no .: MDL-61143
CVE identificador: CVE-2018-1043
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61143

================================================== ============================
MSA-18-0003: Escalada de privilegios en los servicios web de concursos

Descripción: Cuestionario servicios web permiten a los estudiantes a ver resultados de la prueba cuando
                   está prohibido en la configuración. Este servicio web se utiliza
                   por la aplicación móvil
Resumen tema: Los estudiantes son capaces de ver resultados de la prueba en las aplicaciones para móviles
                   a pesar de que está prohibido en la configuración
Severidad / Riesgo: Menor
Las versiones afectadas: 3.4, 3.3 a 3.3.3, 3.2.6 y 3.2 a 3.1 a 3.1.9
Versiones fijas: 3.4.1, 3.3.4, 3.2.7 y 3.1.10
Informado por: Chirine Nassar
Emitir no .: MDL-60908
CVE identificador: CVE-2018-1044
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60908

================================================== ============================
MSA-18-0004: XSS en nombre de evento del calendario

Descripción: Es posible la ejecución de JavaScript en el nombre del evento en
                   el bloque de calendario. Normalmente capacidad de crear eventos es
                   sólo se da a los usuarios de confianza (como maestros), sin embargo,
                   No se marca como de riesgo XSS, por lo que es
                   considerado un problema de seguridad.
Resumen tema: XSS en el nombre del evento en block_calendar
Severidad / Riesgo: Menor
Las versiones afectadas: 3.3 a 3.3.3, 3.2.6 a 3.2, 3.1 a 3.1.9 y anteriores
                   versiones no soportadas
Versiones fijas: 3.3.4, 3.2.7 y 3.1.10
Informado por: Rubens Brandao
Emitir no .: MDL-60235
CVE identificador: CVE-2018-1045
Los cambios (3.3): https://git.moodle.org/gw?p=moodle.git&a=search&h=MOODLE_33_STABLE&st=commit&s=MDL-60235 

 ================================================== ============================ 

Moodle 3.4.1, 3.3.4, 3.2.7 and 3.1.10 are now available

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 3.4.1, 3.3.4, 3.2.7 and 3.1.10 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.

• Moodle 3.4.1 release notes
• Moodle 3.3.4 release notes
• Moodle 3.2.7 release notes
• Moodle 3.1.10 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Moodle HQ
==============================

================================================

MSA-18-0001: Server Side Request Forgery in the filepicker Description: By substituting the source URL in the filepicker AJAX request authenticated users are able to retrieve and view any URL. We classify this issue as serious because some cloud hosting providers contain internal resources that can expose data and compromise a server Issue summary: Server Side Request Forgery in /repository/repository_ajax.

php (Critical for Cloud Hosted
                   Moodle Instances)
Severity/Risk:     Serious
Versions affected: 3.4, 3.3 to 3.3.3, 3.2 to 3.2.6, 3.1 to 3.1.9 and earlier
                   unsupported versions
Versions fixed:    3.4.1, 3.3.4, 3.2.7 and 3.1.10
Reported by:       Thomas DeVoss
Issue no.:         MDL-61131
CVE identifier:    CVE-2018-1042
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61131

==============================================================================
MSA-18-0002: Setting for blocked hosts list can be bypassed with multiple A
record hostnames

Description:       Moodle setting "cURL blocked hosts list" was introduced in
                   Moodle 3.2 to prevent access to specific addresses (usually
                   internal) when server retrieves URLs requested by the user.
                   PoC was presented how to bypass this restriction by using a
                   DNS record that returns multiple A records for a hostname.
Issue summary:     curlsecurityblockedhosts can be bypassed with multiple A
                   record hostnames
Severity/Risk:     Minor
Versions affected: 3.4, 3.3 to 3.3.3 and 3.2 to 3.2.6
Versions fixed:    3.4.1, 3.3.4 and 3.2.7
Reported by:       Jordan Tomkinson
Issue no.:         MDL-61143
CVE identifier:    CVE-2018-1043
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61143

==============================================================================
MSA-18-0003: Privilege escalation in quiz web services

Description:       Quiz web services allow students to see quiz results when
                   it is prohibited in the settings. This web service is used
                   by the mobile app
Issue summary:     Students are able to see quiz results in Mobile app
                   although it is prohibited in the settings
Severity/Risk:     Minor
Versions affected: 3.4, 3.3 to 3.3.3, 3.2 to 3.2.6 and 3.1 to 3.1.9
Versions fixed:    3.4.1, 3.3.4, 3.2.7 and 3.1.10
Reported by:       Chirine Nassar
Issue no.:         MDL-60908
CVE identifier:    CVE-2018-1044
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60908

==============================================================================
MSA-18-0004: XSS in calendar event name

Description:       It is possible to inject javascript in the event name in
                   the calendar block. Normally capability to create events is
                   only given to trusted users (such as teachers), however it
                   is not marked as having XSS risk, therefore it is
                   considered a security issue.
Issue summary:     XSS in event name in block_calendar
Severity/Risk:     Minor
Versions affected: 3.3 to 3.3.3, 3.2 to 3.2.6, 3.1 to 3.1.9 and earlier
                   unsupported versions
Versions fixed:    3.3.4, 3.2.7 and 3.1.10
Reported by:       Rubens Brandao
Issue no.:         MDL-60235
CVE identifier:    CVE-2018-1045
Changes (3.3):     https://git.moodle.org/gw?p=moodle.git&a=search&h=MOODLE_33_STABLE&st=commit&s=MDL-60235

==============================

================================================