|
|
|
Mostrando entradas con la etiqueta Moodle. Mostrar todas las entradas
Mostrando entradas con la etiqueta Moodle. Mostrar todas las entradas
martes, 26 de abril de 2022
#AW419 Moodle 4.0 is now available
martes, 16 de junio de 2020
#AW418 Moodle 3.9 is now available
 |
El nuevo Moodle 3.9 está
aquí: La última versión de nuestro LMS de código abierto optimiza la
enseñanza y el aprendizaje con una integración H5P completa, un selector
de actividad renovado, un filtrado de participantes mejorado y mucho
más.
Moodle
3.9 está dedicado a todos los educadores que se esfuerzan por
mantenerse conectados con sus estudiantes durante los cierres de
escuelas, asegurando que puedan seguir aprendiendo en línea.
También
nos gustaría enviar un gran agradecimiento a la #Moodle comunidad por
sus contribuciones a Moodle 3.9 y por su apoyo continuo para ayudarnos a
construir la plataforma más eficaz del mundo para la enseñanza y el
aprendizaje.
Ver más sobre Moodle 3.9 aquí: http://ow.ly/MwYQ50A7EMQ
|
A todos los administradores de Moodle registrados,
Lanzamiento de la versión principal
Escribo hoy para hacerle saber que Moodle 3.9 ahora está disponible a través de los canales de descarga abiertos habituales; https://download.moodle.org y Git. Las notas de la versión se pueden encontrar en el siguiente enlace:
Problemas de seguridad
Además de las correcciones de errores, las mejoras de rendimiento y las
nuevas características, hay correcciones de seguridad que debe tener en
cuenta. Como se trata de una versión principal, las correcciones de
seguridad incluidas son las mismas que las de las versiones menores
recientes.
Las correcciones y mejoras que contribuyen a las mejores prácticas de
seguridad también son un elemento importante para mantener seguras las
instancias de Moodle y sus datos. Las mejoras de seguridad y las nuevas
funciones incluidas en esta versión se pueden encontrar en las notas de la versión .
Como administrador registrado de Moodle, recibirá un aviso de las
correcciones de seguridad antes de que se publiquen más ampliamente.
Como las últimas correcciones se aplicaron en las versiones menores
recientes, ya figuran en https://moodle.org/security , y también se pueden encontrar buscando los identificadores CVE relevantes.
Para evitar que su sitio sea vulnerable, le recomendamos que actualice
sus sitios a la última versión de Moodle lo antes posible. Si no puede
actualizar, compruebe cuidadosamente el enlace de seguridad anterior y
parchee su propio sistema o desactive esas funciones.
Gracias
Al igual que con cada lanzamiento, se agradece enormemente a todos los
involucrados en informar y contribuir con mejoras y correcciones. Es un
gran esfuerzo de equipo, y el trabajo duro de todos es muy apreciado
tanto por Moodle HQ como por la comunidad más amplia de Moodle.
Gracias por usar Moodle y ser parte de la comunidad de código abierto de Moodle.
Michael Hawkins
Cuartel general de Moodle
Cuartel general de Moodle
Recibió
este correo electrónico porque solicitó noticias de seguridad de Moodle
cuando registró un sitio de Moodle. Si ya no desea recibir estos
correos electrónicos, vuelva a registrar su sitio con sus nuevas
preferencias o use el enlace para cancelar la suscripción a
continuación. Tenga en cuenta que esta bandeja de entrada no está
supervisada, por lo que no se leerán las respuestas a este correo
electrónico.
To all registered Moodle Administrators,
Major Version Release
I'm writing today to let you know that Moodle 3.9 is now available via the usual open download channels; https://download.moodle.org and Git. The release notes can be found at the following link:
Security Issues
As
well as bug fixes, performance improvements and new features, there are
security fixes that you should be aware of. As this is a major release,
the security fixes included are the same as those from the recent minor
releases.
Fixes
and improvements that contribute to security best practices are also an
important element of keeping Moodle instances and their data secure.
Security improvements and new features included in this release can be
found in the release notes.
As
a registered Moodle admin, you receive notice of security fixes before
they are published more widely. As the latest fixes were applied in the
recent minor releases, they are already listed at https://moodle.org/security, and can also be found by searching the relevant CVE identifiers.
To
avoid leaving your site vulnerable, we highly recommend you upgrade
your sites to the latest Moodle version as soon as you can. If you
cannot upgrade, then please check the above security link carefully and
patch your own system or switch off those features.
Thank You
As
with every release, a huge thank you goes out to everyone involved in
reporting and contributing improvements and fixes. It is a huge team
effort, and everyone's hard work is very much appreciated by both Moodle
HQ and the wider Moodle community.
Thanks for using Moodle and being part of the Moodle open source community.
Michael Hawkins
Moodle HQ
Moodle HQ
You
are receiving this email because you asked for Moodle security news
when you registered a Moodle site. If you no longer wish to receive
these emails, please re-register your site with your new preferences or
use the unsubscribe link below. Note that this inbox is unmonitored, so
replies to this email will not be read.
Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Utilizas MOODLE? ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos.
Hasta el próximo artículo... ¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...
miércoles, 24 de enero de 2018
#AW406 Moodle 3.4.1 are now available
Moodle 3.4.1, 3.3.4, 3.2.7 y 3.1.10 están ahora disponible
Un mensaje para los administradores de Moodle registrados
Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este mensaje porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no serán leídos.Estoy escribiendo hoy para hacerle saber que Moodle 3.4.1, 3.3.4, 3.2.7 y 3.1.10 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.
- Moodle 3.4.1 notas de la versión
- Moodle 3.3.4 notas de la versión
- Moodle 3.2.7 notas de la versión
- Moodle 3.1.10 notas de liberación
Temas de seguridad
Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que los hayamos publicado más ampliamente en https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
HQ Moodle
================================================== ============================
MSA-18-0001: Solicitud del Servidor lateral Falsificación en el filepicker
Descripción: Al sustituir la URL de origen en el AJAX filepicker
solicitud autenticada usuarios son capaces de recuperar y visualizar
cualquier URL. Clasificamos este problema tan serio porque algunos
los proveedores de alojamiento en la nube contener recursos internos que pueden
exponer los datos y poner en peligro un servidor
Resumen tema: Solicitud del Servidor lateral Falsificación de
/repository/repository_ajax.php (Crítica para alojados en las nubes
Las instancias de Moodle)
Severidad / Riesgo: Grave
Las versiones afectadas: 3.4, 3.3 a 3.3.3, 3.2.6 a 3.2, 3.1 a 3.1.9 y anteriores
versiones no soportadas
Versiones fijas: 3.4.1, 3.3.4, 3.2.7 y 3.1.10
Informado por: Thomas Voss
Emitir no .: MDL-61131
CVE identificador: CVE-2018-1042
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61131
================================================== ============================
MSA-18-0002: Configuración de la lista de anfitriones bloqueados pueden ser anuladas con múltiples Un
los nombres de host de registro
Descripción: "Lista de cURL bloqueado anfitriones" entorno Moodle se introdujo en
Moodle 3.2 para impedir el acceso a direcciones específicas (por lo general
interno) cuando el servidor recupera URL solicitadas por el usuario.
PoC se presentó la manera de eludir esta restricción mediante el uso de una
registro DNS que devuelve varios registros para un nombre de host.
Resumen tema: curlsecurityblockedhosts pueden ser anuladas con múltiples Un
los nombres de host de registro
Severidad / Riesgo: Menor
Las versiones afectadas: 3.4, 3.3 y 3.2 a 3.3.3 a 3.2.6
Versiones fijas: 3.4.1, 3.3.4 y 3.2.7
Informado por: Jordan Tomkinson
Emitir no .: MDL-61143
CVE identificador: CVE-2018-1043
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61143
================================================== ============================
MSA-18-0003: Escalada de privilegios en los servicios web de concursos
Descripción: Cuestionario servicios web permiten a los estudiantes a ver resultados de la prueba cuando
está prohibido en la configuración. Este servicio web se utiliza
por la aplicación móvil
Resumen tema: Los estudiantes son capaces de ver resultados de la prueba en las aplicaciones para móviles
a pesar de que está prohibido en la configuración
Severidad / Riesgo: Menor
Las versiones afectadas: 3.4, 3.3 a 3.3.3, 3.2.6 y 3.2 a 3.1 a 3.1.9
Versiones fijas: 3.4.1, 3.3.4, 3.2.7 y 3.1.10
Informado por: Chirine Nassar
Emitir no .: MDL-60908
CVE identificador: CVE-2018-1044
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60908
================================================== ============================
MSA-18-0004: XSS en nombre de evento del calendario
Descripción: Es posible la ejecución de JavaScript en el nombre del evento en
el bloque de calendario. Normalmente capacidad de crear eventos es
sólo se da a los usuarios de confianza (como maestros), sin embargo,
No se marca como de riesgo XSS, por lo que es
considerado un problema de seguridad.
Resumen tema: XSS en el nombre del evento en block_calendar
Severidad / Riesgo: Menor
Las versiones afectadas: 3.3 a 3.3.3, 3.2.6 a 3.2, 3.1 a 3.1.9 y anteriores
versiones no soportadas
Versiones fijas: 3.3.4, 3.2.7 y 3.1.10
Informado por: Rubens Brandao
Emitir no .: MDL-60235
CVE identificador: CVE-2018-1045
Los cambios (3.3): https://git.moodle.org/gw?p=moodle.git&a=search&h=MOODLE_33_STABLE&st=commit&s=MDL-60235
================================================== ============================
Moodle 3.4.1, 3.3.4, 3.2.7 and 3.1.10 are now available
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 3.4.1, 3.3.4, 3.2.7 and 3.1.10 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.
- Moodle 3.4.1 release notes
- Moodle 3.3.4 release notes
- Moodle 3.2.7 release notes
- Moodle 3.1.10 release notes
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Moodle HQ
==============================
MSA-18-0001: Server Side Request Forgery in the filepicker Description: By substituting the source URL in the filepicker AJAX request authenticated users are able to retrieve and view any URL. We classify this issue as serious because some cloud hosting providers contain internal resources that can expose data and compromise a server Issue summary: Server Side Request Forgery in /repository/repository_ajax.============================== ==================
==============================php (Critical for Cloud Hosted Moodle Instances) Severity/Risk: Serious Versions affected: 3.4, 3.3 to 3.3.3, 3.2 to 3.2.6, 3.1 to 3.1.9 and earlier unsupported versions Versions fixed: 3.4.1, 3.3.4, 3.2.7 and 3.1.10 Reported by: Thomas DeVoss Issue no.: MDL-61131 CVE identifier: CVE-2018-1042 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-61131 ============================== ============================== ================== MSA-18-0002: Setting for blocked hosts list can be bypassed with multiple A record hostnames Description: Moodle setting "cURL blocked hosts list" was introduced in Moodle 3.2 to prevent access to specific addresses (usually internal) when server retrieves URLs requested by the user. PoC was presented how to bypass this restriction by using a DNS record that returns multiple A records for a hostname. Issue summary: curlsecurityblockedhosts can be bypassed with multiple A record hostnames Severity/Risk: Minor Versions affected: 3.4, 3.3 to 3.3.3 and 3.2 to 3.2.6 Versions fixed: 3.4.1, 3.3.4 and 3.2.7 Reported by: Jordan Tomkinson Issue no.: MDL-61143 CVE identifier: CVE-2018-1043 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-61143 ============================== ============================== ================== MSA-18-0003: Privilege escalation in quiz web services Description: Quiz web services allow students to see quiz results when it is prohibited in the settings. This web service is used by the mobile app Issue summary: Students are able to see quiz results in Mobile app although it is prohibited in the settings Severity/Risk: Minor Versions affected: 3.4, 3.3 to 3.3.3, 3.2 to 3.2.6 and 3.1 to 3.1.9 Versions fixed: 3.4.1, 3.3.4, 3.2.7 and 3.1.10 Reported by: Chirine Nassar Issue no.: MDL-60908 CVE identifier: CVE-2018-1044 Changes (master): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-60908 ============================== ============================== ================== MSA-18-0004: XSS in calendar event name Description: It is possible to inject javascript in the event name in the calendar block. Normally capability to create events is only given to trusted users (such as teachers), however it is not marked as having XSS risk, therefore it is considered a security issue. Issue summary: XSS in event name in block_calendar Severity/Risk: Minor Versions affected: 3.3 to 3.3.3, 3.2 to 3.2.6, 3.1 to 3.1.9 and earlier unsupported versions Versions fixed: 3.3.4, 3.2.7 and 3.1.10 Reported by: Rubens Brandao Issue no.: MDL-60235 CVE identifier: CVE-2018-1045 Changes (3.3): https://git.moodle.org/gw?p= moodle.git&a=search&h=MOODLE_ 33_STABLE&st=commit&s=MDL- 60235
============================== ==================
viernes, 24 de noviembre de 2017
#AW394 Nuevo mensaje para los administradores #Moodle
Un mensaje para los administradores de Moodle registrados
Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este mensaje porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no serán leídos.Estoy escribiendo hoy para hacerle saber que Moodle 3.4, 3.3.3, 3.2.6 y 3.1.9 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.
- Moodle notas 3.4 liberación
- Moodle 3.3.3 notas de la versión
- Moodle 3.2.6 notas de la versión
- Moodle 3.1.9 notas de la versión
Temas de seguridad
Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que los hayamos publicado más ampliamente en https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle
================================================== ============================ MSA-17 a 0021: Los estudiantes pueden encontrar direcciones de correo electrónico de otros estudiantes en el mismo curso Descripción: Uso de la búsqueda en los estudiantes participantes página podría buscar direcciones de correo electrónico de todos los participantes, independientemente de correo electrónico visibilidad. Esto permite a enumerar y mensajes de correo electrónico de la conjetura otros estudiantes Resumen tema: Los estudiantes pueden encontrar direcciones de correo electrónico de otros estudiantes que establecer los suyos a "oculto" Severidad / Riesgo: Menor Las versiones afectadas: 3.3 a 3.3.2, 3.2.5 a 3.2, 3.1 a 3.1.8 y anteriores versiones no soportadas Versiones fijas: 3.4, 3.3.3, 3.2.6 y 3.1.9 Informado por: Tim Schroeder Emitir no .: MDL-60550 Solución: Prohibir la capacidad de 'moodle / course: viewparticipants' (Ver participantes) para el papel del estudiante hasta que se realice el acondicionamiento de Moodle CVE identificador: CVE-2017 hasta 15110 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-60550 ============================== ==================== ============================
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 3.4, 3.3.3, 3.2.6 and 3.1.9 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.
- Moodle 3.4 release notes
- Moodle 3.3.3 release notes
- Moodle 3.2.6 release notes
- Moodle 3.1.9 release notes
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
============================================================ ================== MSA-17-0021: Students can find out email addresses of other students in the same course Description: Using search on Participants page students could search email addresses of all participants regardless of email visibility. This allows to enumerate and guess emails of other students Issue summary: Students can find out email addresses of other students who set theirs to "hidden" Severity/Risk: Minor Versions affected: 3.3 to 3.3.2, 3.2 to 3.2.5, 3.1 to 3.1.8 and earlier unsupported versions Versions fixed: 3.4, 3.3.3, 3.2.6 and 3.1.9 Reported by: Tim Schroeder Issue no.: MDL-60550 Workaround: Prohibit capability 'moodle/course:viewparticipant s' (View participants) for Student role until Moodle is upgraded CVE identifier: CVE-2017-15110 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-60550 ============================== ============================== ==================
#AW393 Nuevo #Moodle #WP desde @bitnami
Estimado Profe,
Nos complace anunciar las siguientes versiones en bitnami Pilas:
Esperamos verte pronto de nuevo en Bitnami.com !
---
Dear Profe,
We are pleased to announce the following releases in Bitnami Stacks:
We hope to see you again soon at Bitnami.com!
---
Ya tenemos disponible en BitNami.org la última versión de WordPress que podemos utilizar para la unidad 2 de nuestro libro.
Y también tenemos disponible en BitNami.org la última versión de moodle que podemos utilizar para la unidad 5 de nuestro libro.
Y hasta aquí esta entrada sobre #AW393 Nuevas versiones en BitNami Stacks
ENLACES RELACIONADOS
BitNami.org WordPressMoodleENLACES EXTERNOS
Moodle
WordPress.org o es.wordpress.com DIÁLOGO ABIERTO
Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Estas trabajando con alguno de ellos? ¿Y a vosotr@s alumn@s como les va con ellos? Gracias por seguirnos y leernos. Hasta el próximo artículo...
¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...
miércoles, 24 de mayo de 2017
#AW391 MOODLE: Administradores
Un mensaje para los administradores de Moodle registrados
Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este mensaje porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no serán leídos.Estoy escribiendo hoy para hacerle saber que Moodle 3.2.3, 3.1.6, 3.0.10 y 2.7.20 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.
- Moodle 3.2.3 notas de la versión
- Moodle 3.1.6 notas de la versión
- Moodle 3.0.10 notas de liberación
- Moodle 2.7.20 notas de liberación
Temas de seguridad
Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que los hayamos publicado más ampliamente en https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.
Gracias
Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle
================================================== ============================ MSA-17-0010: adquisición edición de blogs externa Descripción: El usuario puede editar blog enlace externo de otra persona. los la propiedad del blog sería cambiado al usuario actual, por lo tanto, poner en peligro a otras personas no era posible Resumen tema: adquisición edición de blogs externa Severidad / Riesgo: Menor Las versiones afectadas: 3.2 a 3.2.2, 3.1.5 a 3.1, 3.0 a 3.0.9, 2.7 hasta 2.7.19 y otras versiones no soportadas Versiones fijas: 3.2.3, 3.1.6, 3.0.10 y 2.7.20 Informado por: Vuk Ivanovic Emitir no .: MDL-58635 CVE identificador: CVE-2017-7489 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-58635 ============================== ==================== ============================ MSA-17-0011: Búsquedas de blogs posibles sin capacidad para hacerlo Descripción: Capacidad para buscar blogs no se comprobó adecuadamente lo que resulta en que los usuarios sean capaces de buscar blogs sin permiso Resumen tema: Los usuarios pueden buscar blogs escribiendo URL completa en la barra de direcciones incluso con la capacidad moodle / blog: buscar retirado de su papel Severidad / Riesgo: Menor Las versiones afectadas: 3.2 a 3.2.2, 3.1.5 a 3.1, 3.0 a 3.0.9, 2.7 hasta 2.7.19 y otras versiones no soportadas Versiones fijas: 3.2.3, 3.1.6, 3.0.10 y 2.7.20 Informado por: Daniel Kosinski Emitir no .: MDL-58670 CVE identificador: CVE-2017-7490 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-58670 ============================== ==================== ============================ MSA-17-0012: CSRF en el número de cursos que se muestran en el bloque de resumen del curso Descripción: El cambio de enlace de las preferencias del usuario de cómo muchos cursos a ver en su bloque de resumen del curso no estaba protegido contra CSRF. Esto representa un problema de seguridad menor, ya que no se puede aprovechar para el beneficio de nadie, sólo para crear confusiones Resumen tema: CSRF en mi / index.php Severidad / Riesgo: Menor Las versiones afectadas: 3.2 a 3.2.2, 3.1.5 a 3.1, 3.0 a 3.0.9, 2.7 hasta 2.7.19 y otras versiones no soportadas Versiones fijas: 3.2.3, 3.1.6, 3.0.10 y 2.7.20 Informado por: Lukas Schmidt Emitir no .: MDL-58740 CVE identificador: CVE-2017-7491 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-58740 ============================== ==================== ============================ MSA-17-0013: Falta de comprobación de permisos al añadir archivos adjuntos de correos en el foro Servicios web Descripción: Los usuarios sin la capacidad para agregar datos adjuntos a mensajes en el foro fueron capaces de hacerlo a través de servicios web. Este servicio Web utilizado en la aplicación móvil. Resumen tema: Foro Servicios Artículos Web debe comprobar si el usuario tiene permisos para agregar datos adjuntos Severidad / Riesgo: Menor Las versiones afectadas: 3.2 a 3.2.2 y 3.1 a 3.1.5 Las versiones fijas: 3.2.3 y 3.1.6 Informado por: Juan Leyva Emitir no .: MDL-58259 Los cambios (maestro): http://git.moodle.org/gw?p= moodle.git&a=search&h=HEAD&st= commit&s=MDL-58259 ============================== ==================== ============================
A Message for Registered Moodle Administrators
This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.I'm writing today to let you know that Moodle 3.2.3, 3.1.6, 3.0.10 and 2.7.20 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.
- Moodle 3.2.3 release notes
- Moodle 3.1.6 release notes
- Moodle 3.0.10 release notes
- Moodle 2.7.20 release notes
Security Issues
As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.
Thanks
Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
============================================================ ================== MSA-17-0010: External blog editing takeover Description: User could edit somebody else's external blog link. The ownership of the blog would be changed to the current user, therefore compromising other people was not possible Issue summary: External blog editing takeover Severity/Risk: Minor Versions affected: 3.2 to 3.2.2, 3.1 to 3.1.5, 3.0 to 3.0.9, 2.7 to 2.7.19 and other unsupported versions Versions fixed: 3.2.3, 3.1.6, 3.0.10 and 2.7.20 Reported by: Vuk Ivanovic Issue no.: MDL-58635 CVE identifier: CVE-2017-7489 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-58635 ============================== ============================== ================== MSA-17-0011: Searching of blogs possible without capability to do it Description: Capability to search blogs was not checked properly resulting in users being able to search blogs without permission Issue summary: Users can search blogs by typing full url in address bar even with capability moodle/blog:search removed from their role Severity/Risk: Minor Versions affected: 3.2 to 3.2.2, 3.1 to 3.1.5, 3.0 to 3.0.9, 2.7 to 2.7.19 and other unsupported versionsEsperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Estas en ? ¿Y en ? ¿Has relacionado ambas cuentas? ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos. Hasta el próximo artículo... ¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla... Versions fixed: 3.2.3, 3.1.6, 3.0.10 and 2.7.20 Reported by: Daniel Kosinski Issue no.: MDL-58670 CVE identifier: CVE-2017-7490 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-58670 ============================== ============================== ================== MSA-17-0012: CSRF in number of courses displayed in the course overview block Description: The link changing user preference of how many courses to see in their course overview block was not protected against CSRF. This represents a minor security issue since it can't be exploited for anybody's benefit, only to create confusions Issue summary: CSRF on my/index.php Severity/Risk: Minor Versions affected: 3.2 to 3.2.2, 3.1 to 3.1.5, 3.0 to 3.0.9, 2.7 to 2.7.19 and other unsupported versions Versions fixed: 3.2.3, 3.1.6, 3.0.10 and 2.7.20 Reported by: Lukas Schmidt Issue no.: MDL-58740 CVE identifier: CVE-2017-7491 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-58740 ============================== ============================== ================== MSA-17-0013: Missing permission check when adding forum post attachments in Web Services Description: Users without capability to add attachment to forum posts were able to do it via Web Services. This Web Service is used in mobile app. Issue summary: Forum post Web Services should check if the user has permissions to add attachments Severity/Risk: Minor Versions affected: 3.2 to 3.2.2 and 3.1 to 3.1.5 Versions fixed: 3.2.3 and 3.1.6 Reported by: Juan Leyva Issue no.: MDL-58259 Changes (master): http://git.moodle.org/gw?p=moo dle.git&a=search&h=HEAD&st=com mit&s=MDL-58259 ============================== ============================== ==================
Suscribirse a:
Entradas (Atom)
LinkWithin
