Mostrando entradas con la etiqueta URGENTE. Mostrar todas las entradas
Mostrando entradas con la etiqueta URGENTE. Mostrar todas las entradas

viernes, 17 de enero de 2014

URGENTE: [securityalerts] Moodle 2.6.1, 2.5.4, 2.4.8 and 2.3.11 are now available

Hola registrados Moodle Admins!

(Este correo electrónico va a más de 92.000 administradores de Moodle registrados. Usted es
recibiendo este correo electrónico porque usted pidió noticias de seguridad de Moodle cuando
registrado un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico a continuación, ver el final
de este correo electrónico para obtener información acerca de cancelar la suscripción. Las respuestas a este correo electrónico no será
leer.)

Estoy escribiendo hoy para hacerle saber que Moodle 2.6.1, 2.5.4, 2.4.8, 2.3.11 son
disponible a través de los canales habituales de descarga abiertos ( http://download.moodle.org
o GIT).

Tenga en cuenta la rama 2.4 es ahora compatible correcciones de seguridad solamente y 2.3.11 es
la versión final de esa sucursal.

Las notas de la versión completa está aquí:

http://docs.moodle.org/dev/Moodle_2.6.1_release_notes
http://docs.moodle.org/dev/Moodle_2.5.4_release_notes
http://docs.moodle.org/dev/Moodle_2.4.8_release_notes
http://docs.moodle.org/dev/Moodle_2.3.11_release_notes

Las cuestiones de seguridad

Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulir,
hay 3 problemas de seguridad que debe tener en cuenta. Los detalles de las opciones de seguridad
cuestiones se enumeran a continuación.

Como administrador de Moodle registrado que le estamos dando aviso anticipado de estas cuestiones
por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en
http://moodle.org/security en una semana.

Para evitar dejar su sitio vulnerable te recomendamos que actualices tu
sitios a la última versión de Moodle, tan pronto como sea posible.

Si no se puede actualizar, por favor, compruebe la lista siguiente cuidadosamente y patch
su propio sistema o desactivar esas características.

Gracias, como siempre, a todos los involucrados en la información y la fijación de la seguridad
cuestiones. Realmente es un esfuerzo de equipo y uno con más y más personas involucradas
todo el tiempo.

Saludos y gracias por usar Moodle!

Michael de Raadt
Gerente de Desarrollo, HQ Moodle

==============================
==================== =====================
MSA-14-0001: Config cuestión visibilidad contraseñas

Descripción: Algunos de los cambios de contraseña en las páginas de administración estaban siendo
grabado y mostrado a los administradores en la configuración
ingrese informe.
Resumen Edición: Config Cambios Informe revela las contraseñas tan claro
texto
Gravedad / riesgo: menor
Versiones afectadas: 2.6, 2.5 a 2.5.4, 2.4 a 2.4.7 y anteriores
versiones no compatibles
Versiones fijas: 2.6.1, 2.5.4 y 2.4.8
Reportado por: Andrew Steele
El n °:. MDL-36721
Identificador de CVE: CVE-2014-0008
Cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-36721

================================================== =====================
MSA-14-0002: restricciones de grupo que carecen de "iniciar sesión como"

Descripción: Los usuarios fueron capaces de iniciar la sesión como un usuario que no es en un
en el mismo grupo y sin permiso para ver todo
grupos.
Resumen Edición: Los usuarios con permiso loginas y acceder a todos los grupos
prohibida puede iniciar sesión como usuario no en un mismo grupo,
url directa
Gravedad / riesgo: menor
Versiones afectadas: 2.6, 2.5 a 2.5.4, 2.4 a 2.4.7, 2.3 a 2.3.10 y
versiones anteriores no compatibles
Versiones fijas: 2.6.1, 2.5.4, 2.4.8 y 2.3.11
Reportado por: Itamar Tzadok
El n °:. MDL-42643
Identificador de CVE: CVE-2014-0009
Cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-42643

================================================== =====================
MSA-14-0003: Cross-site vulnerabilidad de falsificación de petición en los campos de perfil

Descripción: Los campos del perfil personalizado y categorías estaban abiertos a
eliminación sin comprobación sesión correcto.
Resumen Edición: Dos Cross-Site Request Forgery (CSRF) vulnerabilidades
que se encuentra en / user / profile / index.php
Gravedad / riesgo: Serious
Versiones afectadas: 2.6, 2.5 a 2.5.4, 2.4 a 2.4.7, 2.3 a 2.3.10 y
versiones anteriores no compatibles
Versiones fijas: 2.6.1, 2.5.4, 2.4.8 y 2.3.11
Reportado por: Jun Zhu
El n °:. MDL-42883
Identificador de CVE: CVE-2014-0010
Cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-42883

================================================== =====================
-
Usted está recibiendo este correo electrónico porque usted registró un sitio Moodle con Moodle.org
y eligió para ser añadido a esta lista de bajo volumen de las notificaciones de seguridad y otros
anuncios importantes relacionados con Moodle para los administradores de Moodle.

Para anular su suscripción, puede volver a registrar su sitio (como antes) y asegúrese de que
activar la opción de correo electrónico OFF en el formulario de registro. También puede enviar
un mensaje en blanco a sympa@lists.moodle.org con "darse de baja" securityalerts
como el tema (de la dirección de correo electrónico que está suscrito).

Ver http://lists.moodle.org/info/securityalerts por más.


---------- Forwarded message ----------
From: <michaeld@moodle.com>
Date: 2014/1/13
Subject: [securityalerts] Moodle 2.6.1, 2.5.4, 2.4.8 and 2.3.11 are now available
To: securityalerts@lists.moodle.org


Hello registered Moodle Admins!

(This email is going out to over 92,000 registered Moodle admins. You are
receiving this email because you asked for Moodle security news when you
registered a Moodle site. If you don't want these emails then see the very end
of this email for info about unsubscribing. Replies to this email will not be
read.)

I'm writing today to let you know that Moodle 2.6.1, 2.5.4, 2.4.8, 2.3.11 are
available via the usual open download channels (http://download.moodle.org
or Git).

Note the 2.4 branch is now supported for security fixes only and 2.3.11 is
the final release in that branch.

The full release notes are here:

http://docs.moodle.org/dev/Moodle_2.6.1_release_notes
http://docs.moodle.org/dev/Moodle_2.5.4_release_notes
http://docs.moodle.org/dev/Moodle_2.4.8_release_notes
http://docs.moodle.org/dev/Moodle_2.3.11_release_notes

SECURITY ISSUES

As well as a long list of bug fixes, performance improvements and polishing,
there are 3 security issues you should be aware of. Details of these security
issues are listed below.

As a registered Moodle admin we are giving you advance notice of these issues
so you have some time to fix them before we publish them more widely on
http://moodle.org/security in one week.

To avoid leaving your site vulnerable we highly recommend you upgrade your
sites to the latest Moodle version as soon as you can.

If you cannot upgrade, then please check the following list carefully and patch
your own system or switch off those features.

Thanks, as always, to EVERYONE involved in reporting and fixing security
issues. It really is a team effort and one with more and more people involved
all the time.

Cheers and thanks for using Moodle!

Michael de Raadt
Development Manager, Moodle HQ

=======================================================================
MSA-14-0001: Config passwords visibility issue

Description:       Some password changes on admin pages were being
                   recorded and shown to administrators in the config
                   log report.
Issue summary:     Config Changes Report reveals passwords as plain
                   text
Severity/Risk:     Minor
Versions affected: 2.6, 2.5 to 2.5.4, 2.4 to 2.4.7 and earlier
                   unsupported versions
Versions fixed:    2.6.1, 2.5.4 and 2.4.8
Reported by:       Andrew Steele
Issue no.:         MDL-36721
CVE identifier:    CVE-2014-0008
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-36721

=======================================================================
MSA-14-0002: Group constraints lacking in "log in as"

Description:       Users were able to log in as a user who in a is not
                   in the same group without the permission to see all
                   groups.
Issue summary:     Users with loginas permission and access all groups
                   prohibited can login as user not in their group by
                   direct url
Severity/Risk:     Minor
Versions affected: 2.6, 2.5 to 2.5.4, 2.4 to 2.4.7, 2.3 to 2.3.10 and
                   earlier unsupported versions
Versions fixed:    2.6.1, 2.5.4, 2.4.8 and 2.3.11
Reported by:       Itamar Tzadok
Issue no.:         MDL-42643
CVE identifier:    CVE-2014-0009
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-42643

=======================================================================
MSA-14-0003: Cross-site request forgery vulnerability in profile fields

Description:       Custom profile fields and categories were open to
                   deletion without proper session checking.
Issue summary:     Two Cross-site Request Forgery(CSRF) vulnerabilities
                   found in /user/profile/index.php
Severity/Risk:     Serious
Versions affected: 2.6, 2.5 to 2.5.4, 2.4 to 2.4.7, 2.3 to 2.3.10 and
                   earlier unsupported versions
Versions fixed:    2.6.1, 2.5.4, 2.4.8 and 2.3.11
Reported by:       Jun Zhu
Issue no.:         MDL-42883
CVE identifier:    CVE-2014-0010
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-42883

=======================================================================
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.

To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form.  You can also send
a blank email to sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).

See http://lists.moodle.org/info/securityalerts for more.
Publicado por en No hay comentarios:
Etiquetas: , ,

jueves, 14 de noviembre de 2013

[securityalerts] URGENTE: Moodle 2.5.3, 2.4.7 y 2.3.10 están ahora disponibles

Hola Administradores de Moodle registrados!



(Este correo electrónico va a más de 94.000 administradores de Moodle registrados. Te
recibiendo este mensaje porque usted pidió noticias de seguridad Moodle cuando
registrado un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico a continuación, ver el final
de este correo electrónico para obtener información acerca de darse de baja. Las respuestas a este correo electrónico no será
leer.)

Estoy escribiendo hoy para hacerle saber que Moodle 2.5.3, 2.4.7 y 2.3.10 son
disponible a través de los canales abiertos de descarga habituales ( http://download.moodle.org
o Git).

Tenga en cuenta la rama 2.3 es ahora compatible sólo para las revisiones de seguridad.

Las notas de la versión completa aquí:

http://docs.moodle.org/dev/Moodle_2.5.3_release_notes
http://docs.moodle.org/dev/Moodle_2.4.7_release_notes
http://docs.moodle.org/dev/Moodle_2.3.10_release_notes

La liberación de Moodle 2.6 ha sido retrasado hasta principios de la próxima semana.

CUESTIONES DE SEGURIDAD

Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulir,
hay 5 temas de seguridad que debe tener en cuenta. Los detalles de las opciones de seguridad
problemas se enumeran a continuación.

Como administrador de Moodle registrado que le estamos dando aviso previo de estas cuestiones
así que tienes tiempo para corregirlos antes de que publiquemos más ampliamente en
http://moodle.org/security en una semana.

Para evitar dejar su sitio vulnerable le recomendamos que actualice su
sitios a la última versión de Moodle, tan pronto como sea posible.

Si no se puede actualizar, por favor, consulte la lista siguiente cuidadosamente y patch
su propio sistema o desactivar esas características.

Gracias, como siempre, a todos los involucrados en la presentación de informes y la fijación de la seguridad
cuestiones. Realmente es un esfuerzo de equipo y uno con más y más personas involucradas
todo el tiempo.

Gracias por usar Moodle!

Michael de Raadt
Gerente de Desarrollo, Moodle HQ

==============================
==================== =====================
MSA-13-0025: encabezados incorrectos emitidos por los recursos garantizados

Descripción: Algunos archivos se están entregando con correctos
cabeceras lo que significa que podrían ser aguas abajo en caché.
Resumen Edición: encabezados incorrectos emitidos por los recursos garantizados
La gravedad / riesgo: menor
Versiones afectadas: 2.5 a 2.5.2, 2.4 y 2.4.6 a 2.3.9, 2.3 y
versiones no soportadas anteriormente
Versiones fijas: 2.6, 2.5.3, 2.4.7 y 2.3.10
Reportado por Tony Levi
El n °:. MDL-38743, MDL-42686
Identificador CVE: CVE-2013-4522
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-38743

================================================== =====================
MSA-13-0026: Cross Site scripting en Mensajes

Descripción: JavaScript en los mensajes se está ejecutando en algunos
páginas.
Resumen Edición: Cross Site Scripting en Mensajes
La gravedad / riesgo: grave
Versiones afectadas: 2.5 a 2.5.2, 2.4 y 2.4.6 a 2.3.9, 2.3 y
versiones no soportadas anteriormente
Versiones fijas: 2.6, 2.5.3, 2.4.7 y 2.3.10
Reportado por: Panagiotis Petasis
El n °:. MDL-41941
Identificador CVE: CVE-2013-4523
Solución: Desactivar mensajes
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-41941

================================================== =====================
MSA-13-0027: El acceso a los archivos del servidor a través de depósito

Descripción: El repositorio del sistema de archivos estaba permitiendo el acceso
a los archivos más allá de la zona de archivos de Moodle.
Resumen Edición: repositorio del sistema de archivos proporciona acceso de lectura al
sistema de archivo completo
La gravedad / riesgo: grave
Versiones afectadas: 2.5 a 2.5.2, 2.4 y 2.4.6 a 2.3.9, 2.3 y
versiones no soportadas anteriormente
Versiones fijas: 2.6, 2.5.3, 2.4.7 y 2.3.10
Reportado por: Frédéric Massart
El n °:. MDL-41807
Identificador CVE: CVE-2013-4524
Solución: No habilite repositorio del sistema de archivos (por defecto)
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-41807

================================================== =====================
MSA-13-0028: Cross site scripting en el concurso

Descripción: JavaScript en cuestión respuestas se está ejecutando en
la página de resultados de la prueba.
Resumen Edición: XSS en la vista página de resultados de prueba
La gravedad / riesgo: grave
Versiones afectadas: 2.5 a 2.5.2, 2.4 y 2.4.6 a 2.3.9, 2.3 y
versiones no soportadas anteriormente
Versiones fijas: 2.6, 2.5.3, 2.4.7 y 2.3.10
Reportado por: Michael Hess
El n °:. MDL-41820
Identificador CVE: CVE-2013-4525
Solución: Evitar respuestas basadas en texto en Quiz.
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-41820

================================================== =====================
MSA-13-0029: Cross site scripting vulnerabilidad en la biblioteca de YUI

Descripción: archivos Flash distribuidos con la biblioteca de YUI
puede haber permitido a los ataques cross-site scripting.
Esto es adicional a MSA-13-0025.
Resumen Edición: YUI2 vulnerabilidad de seguridad
La gravedad / riesgo: grave
Versiones afectadas: 2.3 a 2.3.9 y versiones anteriores no compatibles
Versiones fijas: 03/02/10
Reportado por: Petr Škoda
El n °:. MDL-42780
Solución: elimine todos los archivos SWF en el directorio lib / yui.
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-42780

================================================== =====================
-
Usted está recibiendo este correo electrónico porque se registró un sitio Moodle con Moodle.org
y eligió para ser añadido a esta lista de bajo volumen de las notificaciones de seguridad y otras
anuncios importantes relacionados con Moodle para los administradores de Moodle.

Para anular su suscripción, puede volver a registrar su sitio (como antes) y asegúrese de que
desactivar la opción de correo electrónico OFF en el formulario de registro. También puede enviar
un mensaje en blanco a sympa@lists.moodle.org con securityalerts "darse de baja"
como el tema (de la dirección de correo electrónico que está suscrito).

Ver http://lists.moodle.org/info/securityalerts para más.

---------- Forwarded message ----------


Hello registered Moodle Admins!

(This email is going out to over 94,000 registered Moodle admins. You are
receiving this email because you asked for Moodle security news when you
registered a Moodle site. If you don't want these emails then see the very end
of this email for info about unsubscribing. Replies to this email will not be
read.)

I'm writing today to let you know that Moodle 2.5.3, 2.4.7 and 2.3.10 are
available via the usual open download channels (http://download.moodle.org
or Git).

Note the 2.3 branch is now supported for security fixes only.

The full release notes are here:

http://docs.moodle.org/dev/Moodle_2.5.3_release_notes
http://docs.moodle.org/dev/Moodle_2.4.7_release_notes
http://docs.moodle.org/dev/Moodle_2.3.10_release_notes

The release of Moodle 2.6 has been delayed until early next week.

SECURITY ISSUES

As well as a long list of bug fixes, performance improvements and polishing,
there are 5 security issues you should be aware of. Details of these security
issues are listed below.

As a registered Moodle admin we are giving you advance notice of these issues
so you have some time to fix them before we publish them more widely on
http://moodle.org/security in one week.

To avoid leaving your site vulnerable we highly recommend you upgrade your
sites to the latest Moodle version as soon as you can.

If you cannot upgrade, then please check the following list carefully and patch
your own system or switch off those features.

Thanks, as always, to EVERYONE involved in reporting and fixing security
issues. It really is a team effort and one with more and more people involved
all the time.

Thanks for using Moodle!

Michael de Raadt
Development Manager, Moodle HQ

=======================================================================
MSA-13-0025: Incorrect headers emitted for secured resources

Description:       Some files were being delivered with incorrect
                   headers meaning they could be cached downstream.
Issue summary:     Incorrect headers emitted for secured resources
Severity/Risk:     Minor
Versions affected: 2.5 to 2.5.2, 2.4 to 2.4.6, 2.3 to 2.3.9 and
                   earlier unsupported versions
Versions fixed:    2.6, 2.5.3, 2.4.7 and 2.3.10
Reported by:       Tony Levi
Issue no.:         MDL-38743, MDL-42686
CVE Identifier:    CVE-2013-4522
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-38743

=======================================================================
MSA-13-0026: Cross site scripting in Messages

Description:       JavaScript in messages was being executed on some
                   pages.
Issue summary:     Cross Site Scripting in Messages
Severity/Risk:     Serious
Versions affected: 2.5 to 2.5.2, 2.4 to 2.4.6, 2.3 to 2.3.9 and
                   earlier unsupported versions
Versions fixed:    2.6, 2.5.3, 2.4.7 and 2.3.10
Reported by:       Panagiotis Petasis
Issue no.:         MDL-41941
CVE Identifier:    CVE-2013-4523
Workaround:        Disable messages
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-41941

=======================================================================
MSA-13-0027: Access to server files through repository

Description:       The file system repository was allowing access
                   to files beyond the Moodle file area.
Issue summary:     File System repository gives read access to the
                   whole file system
Severity/Risk:     Serious
Versions affected: 2.5 to 2.5.2, 2.4 to 2.4.6, 2.3 to 2.3.9 and
                   earlier unsupported versions
Versions fixed:    2.6, 2.5.3, 2.4.7 and 2.3.10
Reported by:       Frédéric Massart
Issue no.:         MDL-41807
CVE Identifier:    CVE-2013-4524
Workaround:        Do not enable File System repository (default)
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-41807

=======================================================================
MSA-13-0028: Cross site scripting in Quiz

Description:       JavaScript in question answers was being executed on
                   the Quiz Results page.
Issue summary:     XSS on view quiz results page
Severity/Risk:     Serious
Versions affected: 2.5 to 2.5.2, 2.4 to 2.4.6, 2.3 to 2.3.9 and
                   earlier unsupported versions
Versions fixed:    2.6, 2.5.3, 2.4.7 and 2.3.10
Reported by:       Michael Hess
Issue no.:         MDL-41820
CVE Identifier:    CVE-2013-4525
Workaround:        Avoid text-based answers in Quiz.
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-41820

=======================================================================
MSA-13-0029: Cross site scripting vulnerability in YUI library

Description:       Flash files distributed with the YUI library
                   may have allowed for cross-site scripting attacks.
                   This is additional to MSA-13-0025.
Issue summary:     YUI2 security vulnerability
Severity/Risk:     Serious
Versions affected: 2.3 to 2.3.9 and earlier unsupported versions
Versions fixed:    2.3.10
Reported by:       Petr Škoda
Issue no.:         MDL-42780
Workaround:        Remove all SWF files under the lib/yui directory.
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-42780

=======================================================================
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.

To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form.  You can also send
a blank email to sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).

See http://lists.moodle.org/info/securityalerts for more.
Publicado por en No hay comentarios:
Etiquetas: , ,

lunes, 4 de noviembre de 2013

URGENTE: Moodle 2.3.2, 2.2.5 y 2.1.8 ya están disponibles

Hola registrados Administradores de Moodle!

(Este correo electrónico está saliendo a más de 84.000 administradores de Moodle registrados. Usted
está recibiendo este correo electrónico porque usted pidió Moodle seguridad noticia
cuando se registró un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico
a continuación, ver el final de este correo electrónico para obtener información acerca de la suscripción.
Las respuestas a este correo electrónico no será leído.)

Estoy escribiendo hoy para hacerle saber que Moodle 2.3.2, 2.2.5 y 2.1.8
están disponibles a través de los canales habituales de descarga abierta
( http://download.moodle.org , CVS o Git).

Tenga en cuenta que los 2,1 y 1,9 ramas son ahora soportados para la seguridad
sólo las correcciones. También tenga en cuenta que no hay liberación se ha hecho en la rama 1.9
como no ha habido problemas de seguridad graves en esta rama.

Las notas de la versión completa se encuentra aquí:

* http://docs.moodle.org/dev/Moodle_2.3.2_release_notes
* http://docs.moodle.org/dev/Moodle_2.2.5_release_notes
* http://docs.moodle.org/dev/Moodle_2.1.8_release_notes


CUESTIONES DE SEGURIDAD

Además de una larga lista de correcciones de errores, mejoras de rendimiento y
pulido, hay 6 temas de seguridad que debe tener en cuenta.
Los detalles de estos problemas de seguridad se enumeran a continuación.

Como administrador de Moodle registrado le estamos dando aviso previo de estos
cuestiones para que tenga tiempo para corregirlos antes de que ellos publican más
ampliamente en http://moodle.org/security y difundirlos en una semana.

Para evitar dejar su sitio vulnerable le recomendamos que actualice
tus sitios a la última versión de Moodle, tan pronto como sea posible.

Si no se puede actualizar, por favor, compruebe la lista siguiente cuidadosamente
y parchear su propio sistema o apagar esas características.

Gracias, como siempre, a todos los involucrados en la denuncia y la fijación de la seguridad
cuestiones por todo su trabajo duro. Realmente es un esfuerzo de equipo y un
con más y más involucrado en todo momento.

Saludos y gracias por usar Moodle!

Michael de Raadt
Gerente de Desarrollo de Moodle HQ


==============================
==================== =====================
MSA-12-0051: Tamaño carga asunto restricción

Tema: / repositorio / repository_ajax.php permite proporcionar
-1 Para "MaxBytes" y paso lateral tamaño de archivo moodle
restricciones
Gravedad / riesgo: menor
Versiones afectadas: 2,3 a + 2.3.1, 2.2 a 2.2.3 +
Reportado por: Andrew Davis
El n °:. MDL-30792
Identificador CVE: CVE-2012-4400
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-30792
Descripción:
Era posible que un usuario para manipular los parámetros de script para cargar un
archivo de más de los límites establecidos.

================================================== =====================
MSA-12-0052: Curso problema de permisos temas

Tema: Problemas de permisos en formato tema del curso
Gravedad / riesgo: menor
Versiones afectadas: 2,3 a + 2.3.1, 2.2 a 2.2.3 +
Reportado por: Alejandro Blas
El n °:. MDL-28207
Identificador CVE: 2012-4401
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-28207
Descripción:
Los usuarios con capacidades de edición de curso, pero sin permiso para
mostrar / ocultar los temas y definir el tema de actualidad fueron capaces de completar
estas acciones bajo ciertas condiciones.

================================================== =====================
MSA-12-0053: archivo de acceso Blog cuestión

Tema: "publishstate '===' público '
Gravedad / riesgo: menor
Versiones afectadas: 2,3 a + 2.3.1, 2.2 a 2.2.3 +, 2.1 a 2.1.6 +
Reportado por: Kyle Decot
El n °:. MDL-34585
Identificador CVE: CVE-2012-4407
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34585
Descripción:
Los archivos incrustados como parte de un blog se está entregando sin comprobar
el estado de publicación correctamente.

================================================== =====================
MSA-12-0054: Curso de reinicio permiso cuestión

Tema: reset del curso no están protegidos por la capacidad adecuada
Gravedad / riesgo: menor
Versiones afectadas: 2,3 a + 2.3.1, 2.2 a 2.2.3 +, 2.1 a 2.1.6 +
Reportado por: Rex Lorenzo
El n °:. MDL-34519
Identificador CVE: CVE-2012-4408
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34519
Descripción:
El enlace de restablecimiento de curso estaba protegida por un permiso correcto, pero el
restablecer propia página se está comprobando si un permiso diferente.

================================================== =====================
MSA-12-0055: servicio web de acceso cuestión simbólica

Tema: Un servicio web muestra permite al usuario ejecutar las funciones
de cualquier servicio exterior, no sólo las relacionadas con
el servicio exterior de la prenda es para
Gravedad / riesgo: Serios
Versiones afectadas: 2,3 a + 2.3.1, 2.2 a 2.2.3 +, 2.1 a 2.1.6 +
Reportado por: Nathan Mares
El n °:. MDL-34368
Identificador CVE: CVE-2012-4402
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34368
Descripción:
Los usuarios con permiso de acceso a múltiples servicios fueron capaces de utilizar un
señal de un servicio a acceder a otro.

================================================== =====================
MSA-12-0056: fuga de información en función de arrastrar y soltar

Tema: Información divulgación en yui_combo.php
Gravedad / riesgo: menor
Versiones afectadas: 2,3 a 2.3.1 +
Reportado por: Mark Baseggio
El n °:. MDL-35168
Identificador CVE: CVE-2012-4403
Los cambios (maestro):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-35168
Descripción:
La secuencia de comandos de arrastrar y soltar estaba respondiendo a las solicitudes con malas
información que incluye la ruta completa a los scripts en el servidor.
-
Usted está recibiendo este correo electrónico porque se registró un sitio Moodle con Moodle.org
y optó por añadir a esta lista de bajo volumen de las notificaciones de seguridad y otros
importantes relacionados con Moodle anuncios para los administradores de Moodle.

Para anular su suscripción, puede volver a registrar su sitio (como antes) y asegúrese de que
activar la opción de correo electrónico cuando esté en el formulario de inscripción. También puede enviar
un mensaje en blanco a sympa@lists.moodle.org con "darse de baja" securityalerts
como el sujeto (la dirección de correo electrónico que está suscrito).

Ver http://lists.moodle.org/info/securityalerts para más.



---------- Forwarded message ----------
From: <michaeld@moodle.com>
Date: 2012/9/10
Subject: [securityalerts] URGENT: Moodle 2.3.2, 2.2.5 and 2.1.8 are now available
To: securityalerts@lists.moodle.org


Hello registered Moodle Admins!

(This email is going out to over 84,000 registered Moodle admins. You
are receiving this email because you asked for Moodle security news
when you registered a Moodle site.  If you don't want these emails
then see the very end of this email for info about unsubscribing.
Replies to this email will not be read.)

I'm writing today to let you know that Moodle 2.3.2, 2.2.5 and 2.1.8
are available via the usual open download channels
(http://download.moodle.org, CVS or Git).

Note that the 2.1 and 1.9 branches are now supported for security
fixes only. Also note that no release has been made in the 1.9 branch
as there have been no serious security issues in this branch.

The full release notes are here:

 * http://docs.moodle.org/dev/Moodle_2.3.2_release_notes
 * http://docs.moodle.org/dev/Moodle_2.2.5_release_notes
 * http://docs.moodle.org/dev/Moodle_2.1.8_release_notes


SECURITY ISSUES

As well as a long list of bug fixes, performance improvements and
polishing, there are 6 security issues you should be aware of.
Details of these security issues are listed below.

As a registered Moodle admin we are giving you advance notice of these
issues so you have some time to fix them before we publish them more
widely on http://moodle.org/security and publicise them in one week.

To avoid leaving your site vulnerable we highly recommend you upgrade
your sites to the latest Moodle version as soon as you can.

If you cannot upgrade then please check the following list carefully
and patch your own system or switch off those features.

Thanks, as always, to EVERYONE involved in reporting and fixing security
issues for all their hard work.  It really is a team effort and one
with more and more people involved all the time.

Cheers and thanks for using Moodle!

Michael de Raadt
Development Manager, Moodle HQ


=======================================================================
MSA-12-0051: File upload size constraint issue

Topic:             /repository/repository_ajax.php allows you to supply
                   -1 for "maxbytes" and side step moodle file size
                   restrictions
Severity/Risk:     Minor
Versions affected: 2.3 to 2.3.1+, 2.2 to 2.2.3+
Reported by:       Andrew Davis
Issue no.:         MDL-30792
CVE Identifier:    CVE-2012-4400
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-30792
Description:
It was possible for a user to manipulate script parameters to upload a
file larger than set limits.

=======================================================================
MSA-12-0052: Course topics permission issue

Topic:             Permissions problems in topic course format
Severity/Risk:     Minor
Versions affected: 2.3 to 2.3.1+, 2.2 to 2.2.3+
Reported by:       Alexander Bias
Issue no.:         MDL-28207
CVE Identifier:    2012-4401
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-28207
Description:
Users with course editing capabilities, but without permission to
show/hide topics and set the current topic were able to complete
these actions under certain conditions.

=======================================================================
MSA-12-0053: Blog file access issue

Topic:             'publishstate' === 'public'
Severity/Risk:     Minor
Versions affected: 2.3 to 2.3.1+, 2.2 to 2.2.3+, 2.1 to 2.1.6+
Reported by:       Kyle Decot
Issue no.:         MDL-34585
CVE Identifier:    CVE-2012-4407
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34585
Description:
Files embedded as part of a blog were being delivered without checking
the publication state properly.

=======================================================================
MSA-12-0054: Course reset permission issue

Topic:             Course reset not protected by proper capability
Severity/Risk:     Minor
Versions affected: 2.3 to 2.3.1+, 2.2 to 2.2.3+, 2.1 to 2.1.6+
Reported by:       Rex Lorenzo
Issue no.:         MDL-34519
CVE Identifier:    CVE-2012-4408
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34519
Description:
The course reset link was protected by a correct permission but the
reset page itself was being checked for a different permission.

=======================================================================
MSA-12-0055: Web service access token issue

Topic:             A web service token allows the user to run functions
                   from any external service, not just those linked to
                   the external service the token is for
Severity/Risk:     Serios
Versions affected: 2.3 to 2.3.1+, 2.2 to 2.2.3+, 2.1 to 2.1.6+
Reported by:       Nathan Mares
Issue no.:         MDL-34368
CVE Identifier:    CVE-2012-4402
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-34368
Description:
Users with permission to access multiple services were able to use a
token from one service to access another.

=======================================================================
MSA-12-0056: Information leak in drag-and-drop

Topic:             Information disclosure in yui_combo.php
Severity/Risk:     Minor
Versions affected: 2.3 to 2.3.1+
Reported by:       Mark Baseggio
Issue no.:         MDL-35168
CVE Identifier:    CVE-2012-4403
Changes (master):
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-35168
Description:
The drag-and-drop script was responding to bad requests with
information that included the full path to scripts on the server.
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.

To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form.  You can also send
a blank email to sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).

See http://lists.moodle.org/info/securityalerts for more.

Publicado por en No hay comentarios:
Etiquetas: ,

miércoles, 12 de octubre de 2011

URGENTE: Moodle 2.1.2, Moodle 2.0.5 y 1.9.14 Moodle ya están disponibles

(URGENTE: Moodle 2.1.2, Moodle 2.0.5 y 1.9.14 Moodle ya están disponibles.): [securityalerts] URGENT: Moodle 2.1.2, Moodle 2.0.5 and Moodle 1.9.14 are now available.

Hola Administradores de Moodle registrados!

(Este correo electrónico está saliendo a más de 75.000 administradores de Moodle registrados. Usted
Recibes este mensaje porque usted pidió para Moodle noticias sobre seguridad
cuando se registró un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico
a continuación, ver el final de este e-mail para información acerca de darse de baja)

Estoy escribiendo hoy en día para hacerle saber que Moodle 2.1.2, 2.0.5, 1.9.14 y se
disponible a través de los canales habituales de descarga abierta
( http://download.moodle.org , CVS o Git).

La notas de la versión completa está aquí:

* http://docs.moodle.org/dev/Moodle_2.1.2_release_notes
* http://docs.moodle.org/dev/Moodle_2.0.5_release_notes
* http://docs.moodle.org/dev/Moodle_1.9.14_release_notes


CUESTIONES DE SEGURIDAD

Así como una larga lista de correcciones de errores, mejoras de rendimiento y
pulido, hay 15 problemas de seguridad que debe tener en cuenta.

Como administrador de Moodle registrados que le estamos dando aviso previo de estas
problemas para que tenga tiempo para corregirlos antes de su publicación más
ampliamente en http://moodle.org/security y difundirlos.

Para evitar dejar su sitio vulnerable es muy recomendable actualizar
sus sitios a la última versión de Moodle, tan pronto como sea posible.

Si no se puede actualizar, por favor consulte la siguiente lista con cuidado y
parche de su propio sistema o desactivar estas características.

Gracias como siempre a todos los involucrados en la información y de fijación de seguridad
problemas por todo su trabajo duro. Realmente es un esfuerzo de equipo y un
con más y más personas involucradas en todo momento.

Saludos y gracias por usar Moodle!


==============================

=================
MSA-11-0018: Wiki páginas de referencia cuestión falsificación

Tema: CSRF en varios lugares
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28724
Solución: actualizar a la última versión

Descripción:
Esta vulnerabilidad permite la falsificación de referencias cruzadas sitio dentro de los enlaces
en la Wiki.



===============================================
MSA-11-0019: Wiki comentarios cross site scripting tema

Tema: XSS en los comentarios de Wiki
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28726
Solución: actualizar a la última versión

Descripción:
El resultado de analizadores wiki no estaba limpia, lo que podría ser descubierto
y explotados, especialmente cuando se combina con CSRF



===============================================
MSA-11-0020: Archivo problema de visibilidad

Tema: Servidor de archivos muestra todas las categorías y cursos, incluso
si un usuario no tiene acceso a ellos
Gravedad / riesgo: menor
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Ralf Hilgenstock
El n °:. MDL-27586
Solución: actualizar a la última versión

Descripción:
En los archivos del servidor, las áreas de categoría y por supuesto se está mostrando a
los usuarios que no tienen permiso para acceder a ellos



===============================================
MSA-11-0021: repositorio de integración Box.net problema de autenticación

Tema: repositorio de Box.net tiene fallas de seguridad
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Alex Willen
El n °:. MDL-27289
Solución: actualizar a la última versión
Solución: Desactive el repositorio de Box.net

Descripción:
El plugin Box.net Box.net fue creado antes que lanzó un OAuth-como
autenticación, el cual requiere que el usuario introduzca su nombre de usuario y
contraseña en el sitio de moodle.



===============================================
MSA-11-0022: Formas API constante problema

Tema: $ mform-> setConstant () no funciona como se esperaba
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5, <01/09/14
Reportado por: David Mudrak
El n °:. MDL-23872
Solución: actualizar a la última versión

Descripción:
Los valores de forma que se configuran como constantes pudieron ser alterados por los usuarios
cuando el formulario se envió



===============================================
MSA-11-0023: MNET problema de validación SSL

Tema: El manejo incorrecto de openssl_verify () el código de retorno
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5, <01/09/14
Reportado por: David Mudrak
El n °:. MDL-29148
Solución: actualizar a la última versión
Solución: Desactive MNET

Descripción:
Moodle no es el manejo de estos códigos de retorno SSL correctamente y se
vulnerables a los ataques a distancia sin pasar por la validación.



===============================================
MSA-11-0024: Sitio-centro de inscripción cuestión de la identidad

Tema: La columna se registration_hubs.secret diferentes
valor predeterminado para la actualización frente a instalar
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Colin Campbell
El n °:. MDL-27635
Solución: actualizar a la última versión
Solución: No utilice los centros de la comunidad

Descripción:
Sobre la instalación de un valor de secreto de los sitios de los centros no se está estableciendo.



===============================================
MSA-11-0025: módulo de chat de fugas de información

Tema: Chat a conocer los nombres completos de todos los usuarios del sistema
incluidos los usuarios eliminados
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-27219
Solución: actualizar a la última versión
Solución: No utilice Chat en vivo

Descripción:
Los usuarios del chat podría sondear los nombres de los "usuarios beep'ing su ID de usuario



===============================================
MSA-11-0026: Cookie-menos vulnerabilidad de la sesión

Tema: prevenir $ CFG-> usesid porque los hackers tratan de explotar
Gravedad / riesgo: menor
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x también podrían ser vulnerables si
mal configurado)
Reportado por: Petr Škoda
El n °:. MDL-29312
Solución: actualizar a la última versión
Solución: no usar menos de galletas sesiones

Descripción:
Los $ CFG-> usesid agregado previamente para permitir un acceso más sencillo, pero
este ajuste es ahora ignorado para eliminar una vulnerabilidad potencial



===============================================
MSA-11-0027: actualización de la vulnerabilidad de mensajería

Tema: sistema de mensajes refrescante puede causar ilimitada
consultas y el ataque DDos
Gravedad / riesgo: grave
Versiones afectadas: <01/09/14 (2.x no se ve afectada)
Reportado por: Xavier Paz
El n °:. MDL-29311
Solución: actualizar a 1.9.14
Solución: aplicar el parche proporcionado

Descripción:
Los usuarios podrían cambiar el parámetro de espera de mensaje / refresh.php a cero
para causar una denegación de servicio.



===============================================
MSA-11-0028: Curso de edición de la sección de inyección de vulnerabilidad

Tema: Potencial XSS: los valores de impresión editsection.html
directamente desde data_submitted ()
Gravedad / riesgo: menor
Versiones afectadas: <01/09/14 (2.x no se ve afectada)
Reportado por: Aaron Barnes
El n °:. MDL-28722
Solución: actualizar a 1.9.14

Descripción:
Curso sección datos del formulario de edición estaba siendo utilizado sin
filtrada, lo que podría ser explotada por un ataque de inyección



===============================================
MSA-11-0029: la protección de bases de datos de la inyección fortalecido

Tema: Magic cita el endurecimiento de 1,9
Gravedad / riesgo: grave
Versiones afectadas: <01/09/14 (2.x no se ve afectada)
Reportado por: Petr Škoda
El n °:. MDL-29033
Solución: actualizar a 1.9.14

Descripción:
Filtrado ha sido añadido a las funciones de base de datos diferentes para evitar
amenazas imprevistas de la inyección



===============================================
MSA-11-0030: vulnerabilidad de la sección Wiki

Tema: XSS a través de 'sección' del parámetro
Gravedad / riesgo: grave
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28725
Solución: actualizar a la última versión

Descripción:
XSS es posible a través de la "sección" de los parámetros.



===============================================
MSA-11-0031: pérdida potencial de información personal

Tema: mod / forum / user.php exploses datos de los usuarios
Gravedad / riesgo: menor
Versiones afectadas: <2.1.2, <2.0.5, <01/09/14
Reportado por: Rossiani Wijaya
El n °:. MDL-28615
Solución: actualizar a la última versión

Descripción:
Nombres de los usuarios sólo se debe mostrar a otros estudiantes en el mismo
curso o para los administradores.


===============================================
MSA-11-0032: problema mundial de autenticación de búsqueda

Tema: usuario invitado puede ejecutar la búsqueda mundial mediante la introducción de
URL directa
Gravedad / riesgo: menor
Versiones afectadas: <2.1.2, <2.0.5 (1.9.x no afectados)
Reportado por: Tatsuya Shirai
El n °:. MDL-19575
Solución: actualizar a la última versión

Descripción:
Después de iniciar sesión en Moodle como invitado, el usuario podría ejecutar una búsqueda global.




-
/ / / Moodle - software de código abierto para el aprendizaje colaborativo
/ / /
/ / / Software libre, comunidad, información: http://moodle.org
Servicios / / / Soporte comercial y otros: http://moodle.com
-
Usted está recibiendo este email porque se ha registrado un sitio Moodle con Moodle.org
y optó por añadir a esta lista de bajo volumen de las notificaciones de seguridad y otros
Moodle importantes anuncios relacionados con los administradores de Moodle.

Para darse de baja puede volver a registrar su sitio (como antes) y asegúrese de que
a su vez la opción de correo electrónico fuera en el formulario de inscripción. También puede enviar
un mensaje en blanco a sympa@lists.moodle.org con "securityalerts darse de baja"
como el tema (de la dirección de correo electrónico que está suscrito).

Ver http://lists.moodle.org/info/securityalerts para más.



---------- Forwarded message ----------
From: Martin Dougiamas <martin@moodle.com>
Date: 2011/10/10
Subject: [securityalerts] URGENT: Moodle 2.1.2, Moodle 2.0.5 and Moodle 1.9.14 are now available.
To: securityalerts <securityalerts@lists.moodle.org>


Hello registered Moodle Admins!

(This email is going out to over 75,000 registered Moodle admins. You
are receiving this email because you asked for Moodle security news
when you registered a Moodle site.  If you don't want these emails
then see the very end of this email for info about unsubscribing)

I'm writing today to let you know that Moodle 2.1.2, 2.0.5, and 1.9.14 are
available via the usual open download channels
(http://download.moodle.org, CVS or Git).

The full release notes are here:

 * http://docs.moodle.org/dev/Moodle_2.1.2_release_notes
 * http://docs.moodle.org/dev/Moodle_2.0.5_release_notes
 * http://docs.moodle.org/dev/Moodle_1.9.14_release_notes


SECURITY ISSUES

As well as a long list of bug fixes, performance improvements and
polishing, there are 15 security issues you should be aware of.

As a registered Moodle admin we are giving you advance notice of these
issues so you have some time to fix them before we publish them more
widely on http://moodle.org/security and publicize them.

To avoid leaving your site vulnerable we highly recommend you upgrade
your sites to the latest Moodle version as soon as you can.

If you cannot upgrade then please check the following list carefully and
patch your own system or switch off those features.

Thanks as always to EVERYONE involved in reporting and fixing security
issues for all their hard work.  It really is a team effort and one
with more and more people involved all the time.

Cheers and thanks for using Moodle!


===============================================
MSA-11-0018: Wiki pages reference forgery issue

Topic:             CSRF in several places
Severity/Risk:     Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by:       Petr Škoda
Issue no.:         MDL-28724
Solution:          upgrade to latest version

Description:
This vulnerability allowed cross site reference forgery within links
in the Wiki.



===============================================
MSA-11-0019: Wiki comments cross site scripting issue

Topic:             XSS in Wiki comments
Severity/Risk:     Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by:       Petr Škoda
Issue no.:         MDL-28726
Solution:          upgrade to latest version

Description:
The result of wiki parsers was not cleaned, which could be discovered
and exploited especially when combined with CSRF



===============================================
MSA-11-0020: File visibility issue

Topic:             Server files shows all categories and courses even
if a user don't have access to them
Severity/Risk:     Minor
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by:       Ralf Hilgenstock
Issue no.:         MDL-27586
Solution:          upgrade to latest version

Description:
In server files, the category and course areas were being shown to
users who do not have permission to access them



===============================================
MSA-11-0021: Box.net repository integration authentication issue

Topic:             Box.net repository has security flaws
Severity/Risk:     Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by:       Alex Willen
Issue no.:         MDL-27289
Solution:          upgrade to latest version
Workaround:        Disable the Box.net repository

Description:
The Box.net plugin was created before Box.net released an OAuth-like
authentication, which requires a user to enter their username and
password in moodle site.



===============================================
MSA-11-0022: Forms API constant issue

Topic:             $mform->setConstant() does not work as expected
Severity/Risk:     Serious
Versions affected: < 2.1.2, < 2.0.5, < 1.9.14
Reported by:       David Mudrak
Issue no.:         MDL-23872
Solution:          upgrade to latest version

Description:
Form values that are set as constants were able to be altered by users
when the form was submitted



===============================================
MSA-11-0023: MNET SSL validation issue

Topic:             Incorrect handling of openssl_verify() return code
Severity/Risk:     Serious
Versions affected: < 2.1.2, < 2.0.5, < 1.9.14
Reported by:       David Mudrak
Issue no.:         MDL-29148
Solution:          upgrade to latest version
Workaround:        Disable MNET

Description:
Moodle was not handling these SSL return codes correctly and was
vulnerable to remote attacks bypassing validation.



===============================================
MSA-11-0024: Site-hub registration identity issue

Topic:             Column registration_hubs.secret gets different
default value for upgrade versus install
Severity/Risk:     Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by:       Colin Campbell
Issue no.:         MDL-27635
Solution:          upgrade to latest version
Workaround:        Do not use community hubs

Description:
On installation a sites secret value for hubs was not being set.



===============================================
MSA-11-0025: Chat module information leak

Topic:             Chat disclosed full names of all system users
including deleted users
Severity/Risk:     Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by:       Petr Škoda
Issue no.:         MDL-27219
Solution:          upgrade to latest version
Workaround:        Do not use Chat

Description:
Chat users could probe users' names by 'beep'ing their user ID



===============================================
MSA-11-0026: Cookie-less session vulnerability

Topic:             prevent $CFG->usesid because hackers try to exploit it
Severity/Risk:     Minor
Versions affected: < 2.1.2, < 2.0.5 (1.9.x could also be vulnerable if
misconfigured)
Reported by:       Petr Škoda
Issue no.:         MDL-29312
Solution:          upgrade to latest version
Workaround:        Don't use cookie-less sessions

Description:
The $CFG->usesid was added previously to allow simpler access, but
this setting is now ignored to remove a potential vulnerability



===============================================
MSA-11-0027: Messaging refresh vulnerability

Topic:             Message refreshing system may cause unlimited
queries and DDos attack
Severity/Risk:     Serious
Versions affected: < 1.9.14 (2.x not affected)
Reported by:       Xavier Paz
Issue no.:         MDL-29311
Solution:          upgrade to 1.9.14
Workaround:        apply patch provided

Description:
Users could change the wait parameter from message/refresh.php to zero
to cause a denial of service attack.



===============================================
MSA-11-0028: Course section editing injection vulnerability

Topic:             Potential XSS: editsection.html print values
directly from data_submitted()
Severity/Risk:     Minor
Versions affected: < 1.9.14 (2.x not affected)
Reported by:       Aaron Barnes
Issue no.:         MDL-28722
Solution:          upgrade to 1.9.14

Description:
Course section editing form data was being used without being
filtered, which could be exploited by an injection attack



===============================================
MSA-11-0029: Database injection protection strengthened

Topic:             Magic quotes hardening of 1.9
Severity/Risk:     Serious
Versions affected: < 1.9.14 (2.x not affected)
Reported by:       Petr Škoda
Issue no.:         MDL-29033
Solution:          upgrade to 1.9.14

Description:
Filtering has been added to various DB functions to avoid
unanticipated injection threats



===============================================
MSA-11-0030: Wiki section vulnerability

Topic:             XSS through 'section' parameter
Severity/Risk:     Serious
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by:       Petr Škoda
Issue no.:         MDL-28725
Solution:          upgrade to latest version

Description:
XSS was possible through the 'section' parameter.



===============================================
MSA-11-0031: Potential personal information leak

Topic:             mod/forum/user.php exploses user details
Severity/Risk:     Minor
Versions affected: < 2.1.2, < 2.0.5, < 1.9.14
Reported by:       Rossiani Wijaya
Issue no.:         MDL-28615
Solution:          upgrade to latest version

Description:
Users' names should only be displayed to other students in the same
course or to administrators.


===============================================
MSA-11-0032: Global search authentication issue

Topic:             Guest user can execute global search by inputting
URL directly
Severity/Risk:     Minor
Versions affected: < 2.1.2, < 2.0.5 (1.9.x not affected)
Reported by:       Tatsuya Shirai
Issue no.:         MDL-19575
Solution:          upgrade to latest version

Description:
After logged in to Moodle as a guest, the user could execute a Global search.




--
/// Moodle - open-source software for collaborative learning
///
/// Free software, community, information: http://moodle.org
/// Commercial support and other services: http://moodle.com
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.

To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form.  You can also send
a blank email to sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).

See http://lists.moodle.org/info/securityalerts for more.

 

Publicado por en No hay comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)

LinkWithin

Related Posts Plugin for WordPress, Blogger...