#AW418 Moodle 3.9 is now available

El nuevo Moodle 3.9 está aquí: La última versión de nuestro LMS de código abierto optimiza la enseñanza y el aprendizaje con una integración H5P completa, un selector de actividad renovado, un filtrado de participantes mejorado y mucho más. Moodle 3.9 está dedicado a todos los educadores que se esfuerzan por mantenerse conectados con sus estudiantes durante los cierres de escuelas, asegurando que puedan seguir aprendiendo en línea. También nos gustaría enviar un gran agradecimiento a la #Moodle comunidad por sus contribuciones a Moodle 3.9 y por su apoyo continuo para ayudarnos a construir la plataforma más eficaz del mundo para la enseñanza y el aprendizaje.  Ver más sobre Moodle 3.9 aquí: http://ow.ly/MwYQ50A7EMQ

Moodle 3.9 is now available

A todos los administradores de Moodle registrados,

Lanzamiento de la versión principal

Escribo hoy para hacerle saber que Moodle 3.9 ahora está disponible a través de los canales de descarga abiertos habituales; https://download.moodle.org y Git. Las notas de la versión se pueden encontrar en el siguiente enlace:

• Notas de la versión de Moodle 3.9

Problemas de seguridad

Además de las correcciones de errores, las mejoras de rendimiento y las nuevas características, hay correcciones de seguridad que debe tener en cuenta. Como se trata de una versión principal, las correcciones de seguridad incluidas son las mismas que las de las versiones menores recientes.

Las correcciones y mejoras que contribuyen a las mejores prácticas de seguridad también son un elemento importante para mantener seguras las instancias de Moodle y sus datos. Las mejoras de seguridad y las nuevas funciones incluidas en esta versión se pueden encontrar en las notas de la versión .

Como administrador registrado de Moodle, recibirá un aviso de las correcciones de seguridad antes de que se publiquen más ampliamente. Como las últimas correcciones se aplicaron en las versiones menores recientes, ya figuran en https://moodle.org/security , y también se pueden encontrar buscando los identificadores CVE relevantes.

Para evitar que su sitio sea vulnerable, le recomendamos que actualice sus sitios a la última versión de Moodle lo antes posible. Si no puede actualizar, compruebe cuidadosamente el enlace de seguridad anterior y parchee su propio sistema o desactive esas funciones.

Gracias

Al igual que con cada lanzamiento, se agradece enormemente a todos los involucrados en informar y contribuir con mejoras y correcciones. Es un gran esfuerzo de equipo, y el trabajo duro de todos es muy apreciado tanto por Moodle HQ como por la comunidad más amplia de Moodle.

Gracias por usar Moodle y ser parte de la comunidad de código abierto de Moodle.

Michael Hawkins
Cuartel general de Moodle

Recibió este correo electrónico porque solicitó noticias de seguridad de Moodle cuando registró un sitio de Moodle. Si ya no desea recibir estos correos electrónicos, vuelva a registrar su sitio con sus nuevas preferencias o use el enlace para cancelar la suscripción a continuación. Tenga en cuenta que esta bandeja de entrada no está supervisada, por lo que no se leerán las respuestas a este correo electrónico.

 

To all registered Moodle Administrators,

Major Version Release

I'm writing today to let you know that Moodle 3.9 is now available via the usual open download channels; https://download.moodle.org and Git. The release notes can be found at the following link:

• Moodle 3.9 release notes

Security Issues

As well as bug fixes, performance improvements and new features, there are security fixes that you should be aware of. As this is a major release, the security fixes included are the same as those from the recent minor releases.

Fixes and improvements that contribute to security best practices are also an important element of keeping Moodle instances and their data secure. Security improvements and new features included in this release can be found in the release notes.

As a registered Moodle admin, you receive notice of security fixes before they are published more widely. As the latest fixes were applied in the recent minor releases, they are already listed at https://moodle.org/security, and can also be found by searching the relevant CVE identifiers.

To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the above security link carefully and patch your own system or switch off those features.

Thank You

As with every release, a huge thank you goes out to everyone involved in reporting and contributing improvements and fixes. It is a huge team effort, and everyone's hard work is very much appreciated by both Moodle HQ and the wider Moodle community.

Thanks for using Moodle and being part of the Moodle open source community.

Michael Hawkins
Moodle HQ

You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you no longer wish to receive these emails, please re-register your site with your new preferences or use the unsubscribe link below. Note that this inbox is unmonitored, so replies to this email will not be read.

 

Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Utilizas MOODLE?  ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos.

Hasta el próximo artículo... ¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...

#AW353 Moodle 2.9, 2.8.6, 2.7.8 y 2.6.11 están disponibles

 Moodle 2.9, 2.8.6, 2.7.8 and 2.6.11 are now available  

(Moodle 2.9, 2.8.6, 2.7.8 y 2.6.11 están disponibles)

  

UN MENSAJE PARA REGISTRADOS ADMINISTRADORES DE MOODLE

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.

Estoy escribiendo hoy para hacerle saber que Moodle 2.9, 2.8.6, 2.7.8 y 2.6.11 están disponibles a través de los canales habituales de descarga abierta: http://download.moodle.orgo Git.

Tenga en cuenta que la rama 2.7 a partir de ahora se admite en las revisiones de seguridad solamente hasta el 05 2017 y 2,6 rama ya no es compatible.

Notas de la versión están disponibles para cada nueva versión.

• Moodle 2.9 notas de liberación
• Moodle 2.8.6 notas de la versión
• Moodle 2.7.8 notas de la versión
• Moodle 2.6.11 notas de liberación

PROBLEMAS DE SEGURIDAD

Además de una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.

Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que los publiquemos más ampliamente en http://moodle.org/security en una semana.

Para evitar dejar su sitio vulnerable, le recomendamos que actualice sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, entonces por favor consulte la lista siguiente cuidadosamente y remendar su propio sistema o apagar esas características.

GRACIAS

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.

Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.

Marina Glancy
Desarrollo Process Manager, Moodle HQ

================================================== ============================
MSA-15-0018: Cuestionario manual de clasificación es un riesgo XSS, pero no declara que

Descripción: Dejar la regeneración libro de calificaciones es una acción de confianza y tal
                   capacidades en otros módulos ya tienen máscara XSS,
                   'Mod / quiz: grado' faltaba esta bandera.
Resumen Edición: Cuestionario manual de clasificación es un riesgo XSS, pero no declara
                   que
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Hugh Davenport
Emitir no .: MDL-49941
CVE identificador: CVE-2015-3174
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49941

================================================== ============================
MSA-15-0019: Posible phishing al redirigir al sitio externo utilizando árbitro
encabezamiento

Descripción: Algunos mensajes de error en pantalla Moodle botón para volver a
                   pagina anterior. Redirigir a árbitro no local no debe
                   ser permitido ya que potencialmente se puede utilizar para phising.
Resumen Edición: get_referer () se utiliza con redirección () puede ser insegura
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Dingjie Yang
Emitir no .: MDL-49179
CVE identificador: CVE-2015-3175
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49179

================================================== ============================
MSA-15-0020: nombre completo del usuario a través de la divulgación cuenta enlace de confirmación

Descripción: En los sitios con auto-registro habilitado no registrada
                   los usuarios pueden recuperar nombre completo de los usuarios registrados saber
                   sus nombres de usuario
Resumen Edición: nombre completo del usuario a través de la divulgación cuenta enlace de confirmación
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Federico Kirschbaum
Emitir no .: MDL-50099
Solución: Incluso parche parcial (eliminación de una línea en
                   /login/confirm.php) también resolverá problema de seguridad
CVE identificador: CVE-2015-3176
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50099

================================================== ============================
MSA-15-0021: Cualquier usuario autenticado puede suscribirse al monitor de eventos en todo el sitio
reglas

Descripción: Si se cumplen las normas en todo el sitio en la herramienta de monitor de eventos, cualquier
                   usuario puede suscribirse a ellos mismos y, potencialmente,
                   acceso a la información que no se supone que ver.
Resumen Edición: Cualquier usuario autenticado puede suscribirse a gran acontecimiento sitio
                   reglas del monitor
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5
Versiones fijas: 2.9 y 2.8.6
Reportado por: Adrian Greeve
Emitir no .: MDL-50039
Solución: No utilice reglas de todo el sitio hasta que su sitio se actualiza
CVE identificador: CVE-2015-3177
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50039

================================================== ============================
MSA-15-0022: Riesgo potencial XSS cuando el texto volviendo entró por estudiante de
Servicios Web

Descripción: Si el usuario que no es de confianza-XSS intentos para insertar el XSS
                   como parte del texto de entrada, que se limpia cuando
                   que aparece en el sitio web de Moodle pero puede aparecer sin limpiar
                   en la aplicación externa
Resumen Edición: external_format_text () limpia y formatos de texto de forma incorrecta
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Eloy Lafuente
Emitir no .: MDL-49718
CVE identificador: CVE-2015-3178
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49718

================================================== ============================
MSA-15 hasta 0023: el usuario suspendido es capaz de acceder al confirmar correo electrónico

Descripción: Cuando la auto-registro está habilitada y la cuenta de usuario era
                   suspendida después de crear la cuenta, pero antes de que realmente
                   confirmando que, el usuario todavía es capaz de acceder al confirmar
                   correo electrónico, pero sólo una vez.
Resumen Edición: usuario suspendido es capaz de acceder al confirmar correo electrónico
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Marina Glancy
Emitir no .: MDL-50090
CVE identificador: CVE-2015-3179
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50090

================================================== ============================
MSA-15-0024: El usuario con la matrícula suspendida puede ver secciones de la navegación
árbol

Descripción: Si un usuario está inscrito en el curso pero su matrícula es
                   suspendido, que no pueden acceder al curso, pero aún eran
                   capaz de ver la estructura del curso en el bloque de navegación
Resumen Problema: El usuario con la matrícula suspendida puede ver secciones de la
                   árbol de navegación
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Alex Mitin
Emitir no .: MDL-49788
CVE identificador: CVE-2015-3180
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49788

================================================== ============================
MSA-15-0025: Capacidad para gestionar archivos propios no se respeta en la Web
Servicios

Descripción: Los usuarios con la capacidad revocado
                   'Moodle / user: manageownfiles "son todavía capaces de cargar 
                   archivos privados que utilizan la función obsoleto en Servicios Web
Resumen Problema: Los usuarios con las manageownfiles discapacitados son capaces de cargar 
                   archivos privados a través de Web Services
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Juan Leyva
Emitir no .: MDL-49994
CVE identificador: CVE-2015-3181
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49994

================================================== ============================ 

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.9, 2.8.6, 2.7.8 and 2.6.11 are available via the usual open download channels: http://download.moodle.org or Git.
Note that the 2.7 branch from now on is supported for security fixes only untill May 2017 and 2.6 branch is no longer supported.
Release notes are available for each new version.

• Moodle 2.9 release notes
• Moodle 2.8.6 release notes
• Moodle 2.7.8 release notes
• Moodle 2.6.11 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on http://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ

==============================================================================
MSA-15-0018: Quiz manual-grading is an XSS risk, but does not declare that

Description:       Leaving gradebook feedback is a trusted action and such
                   capabilities in other modules already have XSS mask,
                   'mod/quiz:grade' was missing this flag.
Issue summary:     Quiz manual-grading is an XSS risk, but does not declare
                   that
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Hugh Davenport
Issue no.:         MDL-49941
CVE identifier:    CVE-2015-3174
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49941

==============================================================================
MSA-15-0019: Possible phishing when redirecting to external site using referer
header

Description:       Some error messages in Moodle display button to return to
                   previous page. Redirecting to non-local referer should not
                   be allowed as it can potentially be used for phising.
Issue summary:     get_referer() used with redirect() can be insecure
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Dingjie Yang
Issue no.:         MDL-49179
CVE identifier:    CVE-2015-3175
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49179

==============================================================================
MSA-15-0020: User fullname disclosure through account confirmation link

Description:       On the sites with enabled self-registration not registered
                   users can retrieve fullname of registered users knowing
                   their usernames
Issue summary:     User fullname disclosure through account confirmation link
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Federico Kirschbaum
Issue no.:         MDL-50099
Workaround:        Even partial patch (removing one line in
                   /login/confirm.php) will also resolve security issue
CVE identifier:    CVE-2015-3176
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50099

==============================================================================
MSA-15-0021: Any authenticated user can subscribe to site-wide event monitor
rules

Description:       If the site-wide rules exist in the event monitor tool, any
                   user can subscribe themselves to them and potentially
                   access information they are not supposed to see.
Issue summary:     Any authenticated user can subscribe to site wide event
                   monitor rules
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5
Versions fixed:    2.9 and 2.8.6
Reported by:       Adrian Greeve
Issue no.:         MDL-50039
Workaround:        Do not use site-wide rules until your site is upgraded
CVE identifier:    CVE-2015-3177
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50039

==============================================================================
MSA-15-0022: Potential XSS risk when returning text entered by student from
Web Services

Description:       If user who is not XSS-trusted attempts to insert the XSS
                   as part of the input text, it will be cleaned when
                   displayed on Moodle website but may be displayed uncleaned
                   in the external application
Issue summary:     external_format_text() cleans and formats text incorrectly
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Eloy Lafuente
Issue no.:         MDL-49718
CVE identifier:    CVE-2015-3178
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49718

==============================================================================
MSA-15-0023: Suspended user is able to login when confirming email

Description:       When self-registration is enabled and user's account was
                   suspended after creating account but before actually
                   confirming it, user is still able to login when confirming
                   email but only once.
Issue summary:     Suspended user is able to login when confirming email
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Marina Glancy
Issue no.:         MDL-50090
CVE identifier:    CVE-2015-3179
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50090

==============================================================================
MSA-15-0024: User with suspended enrolment can see sections in the navigation
tree

Description:       If a user is enrolled in the course but his enrollment is
                   suspended, they can not access the course but still were
                   able to see course structure in the navigation block
Issue summary:     User with suspended enrolment can see sections in the
                   navigation tree
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Alex Mitin
Issue no.:         MDL-49788
CVE identifier:    CVE-2015-3180
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49788

==============================================================================
MSA-15-0025:       Capability to manage own files is not respected in Web
Services

Description:       Users with the revoked capability
                   'moodle/user:manageownfiles' are still able to upload 
                   private files using deprecated function in Web Services
Issue summary:     Users with the manageownfiles disabled are able to upload 
                   private files via Web Services
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Juan Leyva
Issue no.:         MDL-49994
CVE identifier:    CVE-2015-3181
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49994

==============================================================================

Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles

Moodle 2.8.5, 2.7.7 and 2.6.10 are now available (Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles)

 

Un mensaje para registrados administradores de Moodle

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.
Estoy escribiendo hoy para hacerle saber que Moodle 2.8.5, 2.7.7 y 2.6.10 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git. Este lanzamiento sigue inmediatamente la liberación de 2.8.4, 2.7.6 y 2.6.9, que contenía una regresión de última hora que fue capturado después de que el embalaje.
Tenga en cuenta que la rama 2.6 es ahora compatible únicamente con parches de seguridad.
Notas de publicación están disponibles para cada nueva versión.

• Moodle 2.8.5 notas de la versión
• Moodle 2.7.7 notas de la versión
• Moodle 2.6.10 notas de liberación

Cuestiones de seguridad

Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulido, hay seis temas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en https://moodle.org/security en una semana.
Para evitar dejar su sitio vulnerable, le recomendamos que actualice los sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, consulte la siguiente lista con cuidado y remendar su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Gerente de Desarrollo de Procesos, HQ Moodle

================================================== ============================
MSA-15-0010: Los contactos personales y el número de mensajes no leídos pueden ser reveladas

Descripción: Al modificar una URL conectado el usuario puede ver la lista de
                   contactos de otro usuario, número de mensajes no leídos y lista
                   de sus cursos.
Resumen Problema: Los contactos personales y el número de mensajes no leídos pueden ser
                   revelado
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Barry Oosthuizen
Emitir no .: MDL-49204
Solución: Desactivar la mensajería en el sitio
CVE identificador: CVE-2015-2266
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49204

================================================== ============================
MSA-15-0011: Autenticación en mdeploy se puede omitir

Descripción: Teóricamente posible extraer los archivos en cualquier lugar de la
                   sistema en el que el servidor web tiene acceso de escritura. Aunque
                   es bastante difícil de explotar desde atacante debe de usuario
                   conocer detalles sobre el sistema y ya tienen significativa
                   permisos en el sitio.
Resumen Edición: Autenticación en mdeploy se puede omitir
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Frédéric Massart
Emitir no .: MDL-49087
Solución: Elimine el mdeploy.php archivo o impedir el acceso a ella en el
                   configuración del servidor web
CVE identificador: CVE-2015-2267
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49087

================================================== ============================
MSA-15-0012: Redos Posible con enlaces filtro Convertir URLs

Descripción: expresión regular no es óptima en el filtro podría ser
                   explotado para crear carga del servidor adicional o hacer especial
                   La página no está disponible
Resumen Edición: Redos Posible con enlaces filtro Convertir URLs
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Rob
Emitir no .: MDL-38466
Solución: Desactivar enlaces a filtro de URLs
CVE identificador: CVE-2015-2268
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-38466

================================================== ============================
MSA-15-0013: título del bloque no escapó correctamente y puede causar la inyección HTML

Descripción: Es posible crear inyección HTML a través de bloques con
                   títulos configurables, sin embargo, esto sólo podían ser explotados
                   los usuarios que ya están marcados como XSS de confianza-
Resumen Edición: Título del bloque no escapó correctamente y puede causar HTML
                   inyección
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Gjoko Krstic
Emitir no .: MDL-49144
CVE identificador: CVE-2015-2269
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49144

================================================== ============================
MSA-15-0014: El potencial de divulgación de información para los cursos de difícil acceso

Descripción: Para los temas personalizados que utilizan bloques de regiones en la base
                   layout los bloques para los cursos podrían ser inaccesibles
                   aparece junto con el curso relacionada sensata
                   información. La mayoría de los temas, incluyendo todos los estándares
                   Temas de Moodle, no se ven afectados.
Resumen Edición: usuario invitado puede ver la información del curso que no deben ser
                   poder a través require_login
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Sam Hemelryk
Emitir no .: MDL-48804
CVE identificador: CVE-2015-2270
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48804

================================================== ============================
MSA-15-0015: El usuario sin el permiso adecuado es capaz de marcar la etiqueta como
inapropiado

Descripción: Caso muy menor de la capacidad de no respetar, no lo hace
                   afectar mayoría de los sitios desde esta capacidad se da a
                   los usuarios autenticados por defecto
Resumen Edición: Capacidad moodle / tag: bandera no observó
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Frédéric Massart
Emitir no .: MDL-49084
CVE identificador: CVE-2015-2271
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49084

================================================== ============================
MSA-15-0016: servicios Web testigo puede ser creado por el usuario con temporal
contraseña

Descripción: Incluso cuando la contraseña del usuario se ve obligado a cambiar el inicio de sesión,
                   usuario todavía podría usarla para la autenticación con el fin de
                   crear el servicio web token y, por tanto, extender la vida
                   de la contraseña temporal a través de servicios web.
Resumen Edición: login / token.php no comprueba si auth_forcepasswordchange
                   está en para el usuario
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Juan Leyva
Emitir no .: MDL-48691
CVE identificador: CVE-2015-2272
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48691

================================================== ============================
MSA-15-0017: XSS en el informe de estadísticas de concursos

Descripción: Concurso informe de estadísticas no escapó correctamente estudiante
                   respuestas y podrían utilizarse para el ataque XSS
Resumen Edición: XSS en el informe de estadísticas de concursos
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Tim Hunt
Emitir no .: MDL-49364
CVE identificador: CVE-2015-2273
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49364

================================================== ============================ 

---------- Forwarded message ----------
From: Moodle Security Alerts <securityalerts@moodle.org>
Date: 2015-03-10 3:39 GMT+01:00
Subject: Moodle 2.8.5, 2.7.7 and 2.6.10 are now available
To: rvlerma@gmail.com

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.8.5, 2.7.7 and 2.6.10 are available via the usual open download channels: https://download.moodle.org or Git. This release immediately follows the release of 2.8.4, 2.7.6 and 2.6.9 which contained a last-minute regression that was caught after the packaging.
Note that the 2.6 branch is now supported for security fixes only.
Release notes are available for each new version.

• Moodle 2.8.5 release notes
• Moodle 2.7.7 release notes
• Moodle 2.6.10 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are six security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ

==============================================================================
MSA-15-0010: Personal contacts and number of unread messages can be revealed

Description:       By modifying URL a logged in user can view the list of
                   another user's contacts, number of unread messages and list
                   of their courses.
Issue summary:     Personal contacts and number of unread messages can be
                   revealed
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Barry Oosthuizen
Issue no.:         MDL-49204
Workaround:        Disable messaging on site
CVE identifier:    CVE-2015-2266
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49204

==============================================================================
MSA-15-0011: Authentication in mdeploy can be bypassed

Description:       Theoretically possible to extract files anywhere on the
                   system where the web server has write access. Although it
                   is quite difficult to exploit since attacking user must
                   know details about the system and already have significant
                   permissions on the site.
Issue summary:     Authentication in mdeploy can be bypassed
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Frédéric Massart
Issue no.:         MDL-49087
Workaround:        Delete the file mdeploy.php or prevent access to it in the
                   web server config
CVE identifier:    CVE-2015-2267
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49087

==============================================================================
MSA-15-0012: ReDoS Possible with Convert links to URLs filter

Description:       Not optimal regular expression in the filter could be
                   exploited to create extra server load or make particular
                   page unavailable
Issue summary:     ReDoS Possible with Convert links to URLs filter
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Rob
Issue no.:         MDL-38466
Workaround:        Disable links to URLs filter
CVE identifier:    CVE-2015-2268
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-38466

==============================================================================
MSA-15-0013: Block title not properly escaped and may cause HTML injection

Description:       It is possible to create HTML injection through blocks with
                   configurable titles, however this could only be exploited
                   by users who are already marked as XSS-trusted
Issue summary:     Block title not properly escaped and may cause HTML
                   injection
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Gjoko Krstic
Issue no.:         MDL-49144
CVE identifier:    CVE-2015-2269
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49144

==============================================================================
MSA-15-0014: Potential information disclosure for the inaccessible courses

Description:       For the custom themes that use blocks regions in the base
                   layout the blocks for inaccessible courses could be
                   displayed together with sensible course-related
                   information. Majority of the themes, including all standard
                   Moodle themes, are not affected.
Issue summary:     Guest user can see course information they should not be
                   able to via require_login
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Sam Hemelryk
Issue no.:         MDL-48804
CVE identifier:    CVE-2015-2270
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48804

==============================================================================
MSA-15-0015: User without proper permission is able to mark the tag as
inappropriate

Description:       Very minor case of not respecting capability, it does not
                   affect majority of sites since this capability is given to
                   authenticated users by default
Issue summary:     Capability moodle/tag:flag not observed
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Frédéric Massart
Issue no.:         MDL-49084
CVE identifier:    CVE-2015-2271
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49084

==============================================================================
MSA-15-0016: Web services token can be created for user with temporary
password

Description:       Even when user's password is forced to be changed on login,
                   user could still use it for authentication in order to
                   create the web service token and therefore extend the life
                   of the temporary password via web services.
Issue summary:     login/token.php does not check if auth_forcepasswordchange
                   is on for the user
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Juan Leyva
Issue no.:         MDL-48691
CVE identifier:    CVE-2015-2272
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48691

==============================================================================
MSA-15-0017: XSS in quiz statistics report

Description:       Quiz statistics report did not properly escape student
                   responses and could be used for XSS attack
Issue summary:     XSS in quiz statistics report
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Tim Hunt
Issue no.:         MDL-49364
CVE identifier:    CVE-2015-2273
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49364

==============================================================================

A ver que depara esta alianza y que novedades van surgiendo.

Y hasta aquí esta entrada sobre Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles

ENLACES RELACIONADOS

 MOODLE

ENLACES EXTERNOS


MOODLE - https://www.MOODLE.org


DIÁLOGO ABIERTO
 
Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Estas utilizando moodle como administrador? ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos. Hasta el próximo artículo...

¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...

Moodle Administración Silla Sesión 1

Sí la semana pasada os comente temas del curso para profesores de la utilización de MOODLE, esta semana os voy a comentar que opciones ha modificado o activado el Administrador para hacer que el portal de moodle funcione de esta manera con autoregistro y con la solicitud de cursos.

Para abrir boca, os pongo un vídeo que comenta como instalar MOODLE para los que aun no lo hayáis hecho en local, aunque lo ideal para un uso en Internet es que lo instaléis en vuestro dominio personal o del centro.

01.- Curso práctico Moodle 2 para Secundaria. Instalación en local de Moodle 2.

Respecto a la forma de autoregistro de usuarios

1. Ir a la opción de Gestionar identificación que esta dentro del menú de Identificación dentro del menú de Extensiones de los Ajustes de Administración del sitio.

Nos aparecerá en la barra de navegación esta ruta:

2. Por defecto, moodle viene con dos opciones de Identificación obligatorias que son:
    a) Cuentas manuales
    b) No hay sesión
    c) La primera opcional que viene también activada es Identifiación basada en Email o también llamada de autoregistro como os comentaba la semana pasada en la entrada  1A. El MOODLE de Silla en Valencia.

3. Sí entramos en las opciones de configuración de esta tercera opción:

Tenemos que decidir si vamos a acctivar la utilización de reCAPTCHA para evitar autoregistros de webots, es decir, robots web que no sean personas. Así como todos los campos que queramos que se introduzcan obligatoriamente:

Sí recuerdas, en Silla, el formulario de creación de usuarios era así:

http://iesenricvalorsilla.edu.gva.es/moodle/login/signup.php

Ahora es el Administrador quien aceptará la petición de creación del curso, según me comenta Juan Carlos, los que lo han pedido seran los profesores del nuevo curso:

Cuando un usuario me solicita un curso, a mi me llega un correo indicándome que fulanito ha solicitado un curso, entonces yo me meto en Moodle y veo los cursos que me han solicitado........a mi me aparecen 2 botones.....uno para ACEPTAR y otro para RECHAZAR..........

• Si pulso en RECHAZAR, me sale una ventana donde debo escribir los motivos del rechazo.....
• Si pulso en ACEPTAR, me sale un resumen del curso, donde puedo cambiar la ubicación del curso, modificar su nombre, dar un rol diferente, etc........aquí lo he configurado que por defecto asigne el rol de Profesor a quien me solicite el curso y por defecto se meten los cursos en una categoría llamada "Cursos solicitados"......a no ser que lo modifique yo........

De cualquiera de las dos formas, es decir si pulso sobre ACEPTAR o sobre RECHAZAR, al Usuario le llega un correo con la contestación y en caso de haber ACEPTADO, el enlace directo a su curso........

Para que entendáis mejor los tipos de usuarios que existen, os dejo este segundo videotutorial que lo explica en detalle los diferentes tipos con sus roles más utilizados que son: Administrador (admin), Profesor (editingteacher), Alumno (student) e  Invitado (guest).

Aunque en esta versión 2 existen otros roles intermedios como: Gestor (manager),  Creador (coursecreator) , Profesor Ayudante (teacher), Usuario (user) y Principal (frontpage).

02.- Curso Moodle 2 para Secundaria. Crear Profesores, Categorías y Cursos. 

Respecto a la solicitud de cursos

1. Ir a la opción de Solicitud de curso que esta dentro del menú de Cursos dentro de los Ajustes de Administración del sitio.
2. Activar la primera opción con el literal: "Habilitar solicitud de curso".
3. Decidir cual sera la categoría que guardará por defecto el nuevo curso aceptado.
4. Elegir a quién se ha de notificar la solicitud del curso donde aparece seleccionado Juan Carlos como administrador de este MOODLE, aunque existen otras dos opciones:
    a) Nadie, para que el curso se cree automáticamente.
    b) Todos los que puedan 'Aprobar la creación de cursos'

Y también hemos detectado unas erratas que hay en la traducción oficial de moodle relacionado con este tema, en concreto:

• Cuando acepto un curso, sale el error que me indicas......que pone gaya, donde debe poner vaya.......este error se encuentra en la línea 310 del fichero moodle.php que se encuentra en la carpeta /moodledata/lang/es del servidor...
• Cuando un usuario me solicita un curso, en el correo que recibo, me pone que el Usuario ha solicitado un unevo curso.....donde debe poner nuevo curso......este error se encuentra en la línea 367 del fichero admin.php que se encuentra en la carpeta /moodledata/lang/es del servidor...

Y hasta aquí esta primera entrega sobre administración de moodle basado en el curso de Silla, objetivos cumplidos: 

1. Instalación en local.
2. Conocer los tipos de usuarios básicos y avanzados.
3. Activación y configuración del Autoregistro.
4. Activada la solicitud de cursos.
5. Corregidos las erratas de los mensajes de ACEPTACIÓN y RECHAZO de cursos solicitados.

ENLACES RELACIONADOS

1D. MOODLE Silla - Mi Perfil
1C. MOODLE Silla - Parametrizar Curso
1B. MOODLE Silla - Solicitar Curso
1A. El MOODLE de Silla en Valencia 

DIÁLOGO ABIERTO 

Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Mejor la versión para profesores o esta para administradores? ¿Y para vuestr@s alumn@s? Gracias por seguirnos y leernos. Hasta el próximo artículo...