#AW418 Moodle 3.9 is now available

El nuevo Moodle 3.9 está aquí: La última versión de nuestro LMS de código abierto optimiza la enseñanza y el aprendizaje con una integración H5P completa, un selector de actividad renovado, un filtrado de participantes mejorado y mucho más. Moodle 3.9 está dedicado a todos los educadores que se esfuerzan por mantenerse conectados con sus estudiantes durante los cierres de escuelas, asegurando que puedan seguir aprendiendo en línea. También nos gustaría enviar un gran agradecimiento a la #Moodle comunidad por sus contribuciones a Moodle 3.9 y por su apoyo continuo para ayudarnos a construir la plataforma más eficaz del mundo para la enseñanza y el aprendizaje.  Ver más sobre Moodle 3.9 aquí: http://ow.ly/MwYQ50A7EMQ

Moodle 3.9 is now available

A todos los administradores de Moodle registrados,

Lanzamiento de la versión principal

Escribo hoy para hacerle saber que Moodle 3.9 ahora está disponible a través de los canales de descarga abiertos habituales; https://download.moodle.org y Git. Las notas de la versión se pueden encontrar en el siguiente enlace:

• Notas de la versión de Moodle 3.9

Problemas de seguridad

Además de las correcciones de errores, las mejoras de rendimiento y las nuevas características, hay correcciones de seguridad que debe tener en cuenta. Como se trata de una versión principal, las correcciones de seguridad incluidas son las mismas que las de las versiones menores recientes.

Las correcciones y mejoras que contribuyen a las mejores prácticas de seguridad también son un elemento importante para mantener seguras las instancias de Moodle y sus datos. Las mejoras de seguridad y las nuevas funciones incluidas en esta versión se pueden encontrar en las notas de la versión .

Como administrador registrado de Moodle, recibirá un aviso de las correcciones de seguridad antes de que se publiquen más ampliamente. Como las últimas correcciones se aplicaron en las versiones menores recientes, ya figuran en https://moodle.org/security , y también se pueden encontrar buscando los identificadores CVE relevantes.

Para evitar que su sitio sea vulnerable, le recomendamos que actualice sus sitios a la última versión de Moodle lo antes posible. Si no puede actualizar, compruebe cuidadosamente el enlace de seguridad anterior y parchee su propio sistema o desactive esas funciones.

Gracias

Al igual que con cada lanzamiento, se agradece enormemente a todos los involucrados en informar y contribuir con mejoras y correcciones. Es un gran esfuerzo de equipo, y el trabajo duro de todos es muy apreciado tanto por Moodle HQ como por la comunidad más amplia de Moodle.

Gracias por usar Moodle y ser parte de la comunidad de código abierto de Moodle.

Michael Hawkins
Cuartel general de Moodle

Recibió este correo electrónico porque solicitó noticias de seguridad de Moodle cuando registró un sitio de Moodle. Si ya no desea recibir estos correos electrónicos, vuelva a registrar su sitio con sus nuevas preferencias o use el enlace para cancelar la suscripción a continuación. Tenga en cuenta que esta bandeja de entrada no está supervisada, por lo que no se leerán las respuestas a este correo electrónico.

 

To all registered Moodle Administrators,

Major Version Release

I'm writing today to let you know that Moodle 3.9 is now available via the usual open download channels; https://download.moodle.org and Git. The release notes can be found at the following link:

• Moodle 3.9 release notes

Security Issues

As well as bug fixes, performance improvements and new features, there are security fixes that you should be aware of. As this is a major release, the security fixes included are the same as those from the recent minor releases.

Fixes and improvements that contribute to security best practices are also an important element of keeping Moodle instances and their data secure. Security improvements and new features included in this release can be found in the release notes.

As a registered Moodle admin, you receive notice of security fixes before they are published more widely. As the latest fixes were applied in the recent minor releases, they are already listed at https://moodle.org/security, and can also be found by searching the relevant CVE identifiers.

To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the above security link carefully and patch your own system or switch off those features.

Thank You

As with every release, a huge thank you goes out to everyone involved in reporting and contributing improvements and fixes. It is a huge team effort, and everyone's hard work is very much appreciated by both Moodle HQ and the wider Moodle community.

Thanks for using Moodle and being part of the Moodle open source community.

Michael Hawkins
Moodle HQ

You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you no longer wish to receive these emails, please re-register your site with your new preferences or use the unsubscribe link below. Note that this inbox is unmonitored, so replies to this email will not be read.

 

Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Utilizas MOODLE?  ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos.

Hasta el próximo artículo... ¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...

#AW406 Moodle 3.4.1 are now available

Moodle 3.4.1, 3.3.4, 3.2.7 y 3.1.10 están ahora disponibles

Un mensaje para los administradores de Moodle registrados

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este mensaje porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no serán leídos.
Estoy escribiendo hoy para hacerle saber que Moodle 3.4.1, 3.3.4, 3.2.7 y 3.1.10 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.

• Moodle 3.4.1 notas de la versión
• Moodle 3.3.4 notas de la versión
• Moodle 3.2.7 notas de la versión
• Moodle 3.1.10 notas de liberación

Temas de seguridad

Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que los hayamos publicado más ampliamente en https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
HQ Moodle

 ================================================== ============================

 MSA-18-0001: Solicitud del Servidor lateral Falsificación en el filepicker

Descripción: Al sustituir la URL de origen en el AJAX filepicker
                   solicitud autenticada usuarios son capaces de recuperar y visualizar
                   cualquier URL. Clasificamos este problema tan serio porque algunos
                   los proveedores de alojamiento en la nube contener recursos internos que pueden
                   exponer los datos y poner en peligro un servidor
Resumen tema: Solicitud del Servidor lateral Falsificación de
                   /repository/repository_ajax.php (Crítica para alojados en las nubes
                   Las instancias de Moodle)
Severidad / Riesgo: Grave
Las versiones afectadas: 3.4, 3.3 a 3.3.3, 3.2.6 a 3.2, 3.1 a 3.1.9 y anteriores
                   versiones no soportadas
Versiones fijas: 3.4.1, 3.3.4, 3.2.7 y 3.1.10
Informado por: Thomas Voss
Emitir no .: MDL-61131
CVE identificador: CVE-2018-1042
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61131

================================================== ============================
MSA-18-0002: Configuración de la lista de anfitriones bloqueados pueden ser anuladas con múltiples Un
los nombres de host de registro

Descripción: "Lista de cURL bloqueado anfitriones" entorno Moodle se introdujo en
                   Moodle 3.2 para impedir el acceso a direcciones específicas (por lo general
                   interno) cuando el servidor recupera URL solicitadas por el usuario.
                   PoC se presentó la manera de eludir esta restricción mediante el uso de una
                   registro DNS que devuelve varios registros para un nombre de host.
Resumen tema: curlsecurityblockedhosts pueden ser anuladas con múltiples Un
                   los nombres de host de registro
Severidad / Riesgo: Menor
Las versiones afectadas: 3.4, 3.3 y 3.2 a 3.3.3 a 3.2.6
Versiones fijas: 3.4.1, 3.3.4 y 3.2.7
Informado por: Jordan Tomkinson
Emitir no .: MDL-61143
CVE identificador: CVE-2018-1043
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61143

================================================== ============================
MSA-18-0003: Escalada de privilegios en los servicios web de concursos

Descripción: Cuestionario servicios web permiten a los estudiantes a ver resultados de la prueba cuando
                   está prohibido en la configuración. Este servicio web se utiliza
                   por la aplicación móvil
Resumen tema: Los estudiantes son capaces de ver resultados de la prueba en las aplicaciones para móviles
                   a pesar de que está prohibido en la configuración
Severidad / Riesgo: Menor
Las versiones afectadas: 3.4, 3.3 a 3.3.3, 3.2.6 y 3.2 a 3.1 a 3.1.9
Versiones fijas: 3.4.1, 3.3.4, 3.2.7 y 3.1.10
Informado por: Chirine Nassar
Emitir no .: MDL-60908
CVE identificador: CVE-2018-1044
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60908

================================================== ============================
MSA-18-0004: XSS en nombre de evento del calendario

Descripción: Es posible la ejecución de JavaScript en el nombre del evento en
                   el bloque de calendario. Normalmente capacidad de crear eventos es
                   sólo se da a los usuarios de confianza (como maestros), sin embargo,
                   No se marca como de riesgo XSS, por lo que es
                   considerado un problema de seguridad.
Resumen tema: XSS en el nombre del evento en block_calendar
Severidad / Riesgo: Menor
Las versiones afectadas: 3.3 a 3.3.3, 3.2.6 a 3.2, 3.1 a 3.1.9 y anteriores
                   versiones no soportadas
Versiones fijas: 3.3.4, 3.2.7 y 3.1.10
Informado por: Rubens Brandao
Emitir no .: MDL-60235
CVE identificador: CVE-2018-1045
Los cambios (3.3): https://git.moodle.org/gw?p=moodle.git&a=search&h=MOODLE_33_STABLE&st=commit&s=MDL-60235 

 ================================================== ============================ 

Moodle 3.4.1, 3.3.4, 3.2.7 and 3.1.10 are now available

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 3.4.1, 3.3.4, 3.2.7 and 3.1.10 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.

• Moodle 3.4.1 release notes
• Moodle 3.3.4 release notes
• Moodle 3.2.7 release notes
• Moodle 3.1.10 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Moodle HQ
==============================

================================================

MSA-18-0001: Server Side Request Forgery in the filepicker Description: By substituting the source URL in the filepicker AJAX request authenticated users are able to retrieve and view any URL. We classify this issue as serious because some cloud hosting providers contain internal resources that can expose data and compromise a server Issue summary: Server Side Request Forgery in /repository/repository_ajax.

php (Critical for Cloud Hosted
                   Moodle Instances)
Severity/Risk:     Serious
Versions affected: 3.4, 3.3 to 3.3.3, 3.2 to 3.2.6, 3.1 to 3.1.9 and earlier
                   unsupported versions
Versions fixed:    3.4.1, 3.3.4, 3.2.7 and 3.1.10
Reported by:       Thomas DeVoss
Issue no.:         MDL-61131
CVE identifier:    CVE-2018-1042
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61131

==============================================================================
MSA-18-0002: Setting for blocked hosts list can be bypassed with multiple A
record hostnames

Description:       Moodle setting "cURL blocked hosts list" was introduced in
                   Moodle 3.2 to prevent access to specific addresses (usually
                   internal) when server retrieves URLs requested by the user.
                   PoC was presented how to bypass this restriction by using a
                   DNS record that returns multiple A records for a hostname.
Issue summary:     curlsecurityblockedhosts can be bypassed with multiple A
                   record hostnames
Severity/Risk:     Minor
Versions affected: 3.4, 3.3 to 3.3.3 and 3.2 to 3.2.6
Versions fixed:    3.4.1, 3.3.4 and 3.2.7
Reported by:       Jordan Tomkinson
Issue no.:         MDL-61143
CVE identifier:    CVE-2018-1043
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-61143

==============================================================================
MSA-18-0003: Privilege escalation in quiz web services

Description:       Quiz web services allow students to see quiz results when
                   it is prohibited in the settings. This web service is used
                   by the mobile app
Issue summary:     Students are able to see quiz results in Mobile app
                   although it is prohibited in the settings
Severity/Risk:     Minor
Versions affected: 3.4, 3.3 to 3.3.3, 3.2 to 3.2.6 and 3.1 to 3.1.9
Versions fixed:    3.4.1, 3.3.4, 3.2.7 and 3.1.10
Reported by:       Chirine Nassar
Issue no.:         MDL-60908
CVE identifier:    CVE-2018-1044
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60908

==============================================================================
MSA-18-0004: XSS in calendar event name

Description:       It is possible to inject javascript in the event name in
                   the calendar block. Normally capability to create events is
                   only given to trusted users (such as teachers), however it
                   is not marked as having XSS risk, therefore it is
                   considered a security issue.
Issue summary:     XSS in event name in block_calendar
Severity/Risk:     Minor
Versions affected: 3.3 to 3.3.3, 3.2 to 3.2.6, 3.1 to 3.1.9 and earlier
                   unsupported versions
Versions fixed:    3.3.4, 3.2.7 and 3.1.10
Reported by:       Rubens Brandao
Issue no.:         MDL-60235
CVE identifier:    CVE-2018-1045
Changes (3.3):     https://git.moodle.org/gw?p=moodle.git&a=search&h=MOODLE_33_STABLE&st=commit&s=MDL-60235

==============================

================================================

#AW394 Nuevo mensaje para los administradores #Moodle

Un mensaje para los administradores de Moodle registrados

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este mensaje porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no serán leídos.
Estoy escribiendo hoy para hacerle saber que Moodle 3.4, 3.3.3, 3.2.6 y 3.1.9 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.

• Moodle notas 3.4 liberación
• Moodle 3.3.3 notas de la versión
• Moodle 3.2.6 notas de la versión
• Moodle 3.1.9 notas de la versión

Temas de seguridad

Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que los hayamos publicado más ampliamente en https://moodle.org/security en una semana. Podrá encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle

================================================== ============================
MSA-17 a 0021: Los estudiantes pueden encontrar direcciones de correo electrónico de otros estudiantes en el
mismo curso

Descripción: Uso de la búsqueda en los estudiantes participantes página podría buscar
                   direcciones de correo electrónico de todos los participantes, independientemente de correo electrónico
                   visibilidad. Esto permite a enumerar y mensajes de correo electrónico de la conjetura
                   otros estudiantes
Resumen tema: Los estudiantes pueden encontrar direcciones de correo electrónico de otros estudiantes que
                   establecer los suyos a "oculto"
Severidad / Riesgo: Menor
Las versiones afectadas: 3.3 a 3.3.2, 3.2.5 a 3.2, 3.1 a 3.1.8 y anteriores
                   versiones no soportadas
Versiones fijas: 3.4, 3.3.3, 3.2.6 y 3.1.9
Informado por: Tim Schroeder
Emitir no .: MDL-60550
Solución: Prohibir la capacidad de 'moodle / course: viewparticipants' (Ver
                   participantes) para el papel del estudiante hasta que se realice el acondicionamiento de Moodle
CVE identificador: CVE-2017 hasta 15110
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60550

================================================== ============================

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 3.4, 3.3.3, 3.2.6 and 3.1.9 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.

• Moodle 3.4 release notes
• Moodle 3.3.3 release notes
• Moodle 3.2.6 release notes
• Moodle 3.1.9 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ

==============================================================================
MSA-17-0021: Students can find out email addresses of other students in the
same course

Description:       Using search on Participants page students could search
                   email addresses of all participants regardless of email
                   visibility. This allows to enumerate and guess emails of
                   other students
Issue summary:     Students can find out email addresses of other students who
                   set theirs to "hidden"
Severity/Risk:     Minor
Versions affected: 3.3 to 3.3.2, 3.2 to 3.2.5, 3.1 to 3.1.8 and earlier
                   unsupported versions
Versions fixed:    3.4, 3.3.3, 3.2.6 and 3.1.9
Reported by:       Tim Schroeder
Issue no.:         MDL-60550
Workaround:        Prohibit capability 'moodle/course:viewparticipants' (View
                   participants) for Student role until Moodle is upgraded
CVE identifier:    CVE-2017-15110
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-60550

==============================================================================

#AW374 Moodle 2.9.3, 2.8.9 and 2.7.11 are now available

Un mensaje para registrados Administradores de Moodle

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.
Estoy escribiendo hoy para hacerle saber que Moodle 2.9.3, 2.8.9 y 2.7.11 están disponibles a través de los canales habituales de descarga abierta: http://download.moodle.org o Git. Moodle 3.0 será lanzado el 16 de noviembre.
Tenga en cuenta que la rama 2.8 es ahora compatible sólo para correcciones de seguridad hasta mayo 2016.
Notas de la versión están disponibles para cada nueva versión.

• Moodle 2.9.3 notas de la versión
• Moodle 2.8.9 notas de la versión
• Moodle notas 02.07.11 liberación

Problemas de seguridad

Además de una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que los publiquemos más ampliamente en http://moodle.org/security en una semana. Usted será capaz de encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, entonces por favor consulte la lista siguiente cuidadosamente y remendar su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle

================================================== ============================
MSA-15-0037: Posibilidad de enviar un mensaje a un usuario que bloquea los mensajes de
no contactos

Descripción: ajustes insuficientes comprobar cuando mensajería otro usuario
                   abre la posibilidad de spam
Resumen Problema: los usuarios que no están en la lista de contactos todavía puede enviar mensajes
                   a pesar de que se bloquea en las preferencias
Severidad / Riesgo: Menor
Versiones afectadas: 2.9 a 2.9.2
Versiones fijas: 2.9.3
Reportado por: Pavel Sokolov
Emitir no .: MDL-50426
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50426

================================================== ============================
MSA-15 hasta 0038: DDoS posibilidad en Atto

Descripción: Si el acceso para invitados está abierto en el sitio, usuario no autenticado
                   puede crear un ataque DDos a través del área de guardado automático editor
Resumen Problema: Los huéspedes pueden explotar proyecto atto para almacenar contenido
Severidad / Riesgo: Graves
Versiones afectadas: 2.9 a 2.9.2 y 2.8 a 2.8.8
Versiones fijas: 2.9.3 y 2.8.9
Reportado por: Frédéric Massart
Emitir no .: MDL-51000
Solución: Desactive el acceso de invitados hasta que se aplique la revisión
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51000

================================================== ============================
MSA-15-0039: CSRF en forma de registro en el sitio

Descripción: El atacante puede enviar admin un enlace al formulario de registro en el sitio
                   que mostrará la URL correcta, pero, si se presenta, voluntad
                   registrarse con otro hub
Resumen Problema: Es posible engañar a un sitio / admin en total enviar
                   Estadísticas a un dominio arbitrario
Severidad / Riesgo: Menor
Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9.3, 2.8.9 y 2.7.11
Reportado por: Andrew Davis
Emitir no .: MDL-51091
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51091

================================================== ============================
MSA-15 hasta 0.040: XSS Estudiante en encuesta

Descripción: módulo de encuesta estándar es vulnerable al ataque de XSS
                   los estudiantes que llenan la encuesta
Resumen Edición: XSS Estudiante en encuesta
Severidad / Riesgo: Menor
Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9.3, 2.8.9 y 2.7.11
Reportado por: Hugh Davenport
Emitir no .: MDL-49940
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49940

================================================== ============================
MSA-15-0.041: XSS en el reproductor de vídeo flash

Descripción: vulnerabilidad XSS causada por Flowplayer Flash Video Player
                   se ha tratado
Resumen Edición: Flowplayer reflejada XSS
Severidad / Riesgo: Graves
Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores
                   versiones sin soporte
Versiones fijas: Debe fijar para 3.0
Reportado por: Andrew Nicols
Emitir no .: MDL-48085
Solución: Utilice la versión HTML5 del jugador en ajustes del filtro de los medios
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48085

================================================== ============================
MSA-15 hasta 0042: CSRF en formulario de acceso lección

Descripción: Los módulos de lecciones protegidos con contraseña están sujetas a CSRF
                   vulnerabilidad
Resumen Edición: CSRF en formulario de acceso lección
Severidad / Riesgo: Menor
Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9.3, 2.8.9 y 2.7.11
Reportado por: Ankit Agarwal
Emitir no .: MDL-48109
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48109

================================================== ============================
MSA-15-0043: core_enrol_get_enrolled_users de servicios Web no respeta curso
el modo de grupo

Descripción: A través de core_enrol_get_enrolled_users WS es posible
                   recuperar la lista de participantes del curso que no sería
                   cuando sean visibles utilizando el sitio web
Resumen Edición: core_enrol_get_enrolled_users devuelve todos los participantes, incluso
                   con grupos separados
Severidad / Riesgo: Menor
Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9.3, 2.8.9 y 2.7.11
Reportado por: Daniel Palou
Emitir no .: MDL-51,861
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51861

================================================== ============================
MSA-15 hasta 0044: Capacidad para ver insignias disponibles no se respeta

Descripción: Los usuarios conectados que no tienen la capacidad de "ver si estará disponible
                   insignias sin ganar ellos "aún pueden acceder a la lista completa
                   de insignias
Resumen Edición: moodle Capacidad / insignias: viewbadges no se respeta
Severidad / Riesgo: Menor
Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9.3, 2.8.9 y 2.7.11
Reportado por: Marina Glancy
Emitir no .: MDL-51684
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51684

================================================== ============================
MSA-15-0045: módulo SCORM permite eludir las restricciones de acceso basado en la fecha

Descripción: incorrecta y desaparecidos manejo de fechas de disponibilidad en
                   mod_scorm permiten a los usuarios ver el contenido SCORM eludiendo
                   la restricción de fecha
Resumen Edición: incorrecta y desaparecidos manejo de fechas de disponibilidad en
                   mod_scorm permiten a los usuarios ver el contenido SCORM eludiendo
                   la restricción de fecha
Severidad / Riesgo: Menor
Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9.3, 2.8.9 y 2.7.11
Reportado por: Juan Leyva
Emitir no .: MDL-50837
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50837

================================================== ============================
MSA-15-0046: fecha de cierre del módulo elección se puede omitir

Descripción: Los usuarios pueden burlarse de URL para borrar o enviar nuevas respuestas después
                   el módulo de opción estaba cerrado
Resumen Problema: Los usuarios pueden borrar y enviar nuevas respuestas, incluso cuando el
                   elección está cerrada
Severidad / Riesgo: Menor
Versiones afectadas: 2.9 a 2.9.2, 2.8 a 2.8.8, 2.7 hasta 2.7.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9.3, 2.8.9 y 2.7.11
Reportado por: Juan Leyva
Emitir no .: MDL-51569
CVE identificador: En espera
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51569

================================================== ============================ 

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.9.3, 2.8.9 and 2.7.11 are available via the usual open download channels: http://download.moodle.org or Git. Moodle 3.0 will be released on 16 November.
Note that the 2.8 branch is now supported only for security fixes until May 2016.
Release notes are available for each new version.

• Moodle 2.9.3 release notes
• Moodle 2.8.9 release notes
• Moodle 2.7.11 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on http://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ

==============================================================================
MSA-15-0037: Possible to send a message to a user who blocked messages from
non contacts

Description:       Insufficient settings check when messaging another user
                   opens spam possibility
Issue summary:     Users who are not in contact list still can send messages
                   though it is blocked in preferences
Severity/Risk:     Minor
Versions affected: 2.9 to 2.9.2
Versions fixed:    2.9.3
Reported by:       Pavel Sokolov
Issue no.:         MDL-50426
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50426

==============================================================================
MSA-15-0038: DDoS possibility in Atto

Description:       If guest access is open on the site, unauthenticated user
                   can create a DDos attack through editor autosave area
Issue summary:     Guests can exploit atto draft to store content
Severity/Risk:     Serious
Versions affected: 2.9 to 2.9.2 and 2.8 to 2.8.8
Versions fixed:    2.9.3 and 2.8.9
Reported by:       Frédéric Massart
Issue no.:         MDL-51000
Workaround:        Disable guest access until the fix is applied
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51000

==============================================================================
MSA-15-0039: CSRF in site registration form

Description:       Attacker can send admin a link to site registration form
                   that will display correct URL but, if submitted, will
                   register with another hub
Issue summary:     It is possible to trick a site/admin into sending aggregate
                   stats to an arbitrary domain
Severity/Risk:     Minor
Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier
                   unsupported versions
Versions fixed:    2.9.3, 2.8.9 and 2.7.11
Reported by:       Andrew Davis
Issue no.:         MDL-51091
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51091

==============================================================================
MSA-15-0040: Student XSS in survey

Description:       Standard survey module is vulnerable to XSS attack by
                   students who fill the survey
Issue summary:     Student XSS in survey
Severity/Risk:     Minor
Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier
                   unsupported versions
Versions fixed:    2.9.3, 2.8.9 and 2.7.11
Reported by:       Hugh Davenport
Issue no.:         MDL-49940
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49940

==============================================================================
MSA-15-0041: XSS in flash video player

Description:       XSS vulnerability caused by Flowplayer flash video player
                   has been addressed
Issue summary:     Flowplayer Reflected XSS
Severity/Risk:     Serious
Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier
                   unsupported versions
Versions fixed:    Must fix for 3.0
Reported by:       Andrew Nicols
Issue no.:         MDL-48085
Workaround:        Use HTML5 version of the player in media filter settings
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48085

==============================================================================
MSA-15-0042: CSRF in lesson login form

Description:       Password-protected lesson modules are subject to CSRF
                   vulnerability
Issue summary:     CSRF in lesson login form
Severity/Risk:     Minor
Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier
                   unsupported versions
Versions fixed:    2.9.3, 2.8.9 and 2.7.11
Reported by:       Ankit Agarwal
Issue no.:         MDL-48109
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48109

==============================================================================
MSA-15-0043: Web service core_enrol_get_enrolled_users does not respect course
group mode

Description:       Through WS core_enrol_get_enrolled_users it is possible to
                   retrieve list of course participants who would not be
                   visible when using web site
Issue summary:     core_enrol_get_enrolled_users returns all participants even
                   with separate groups
Severity/Risk:     Minor
Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier
                   unsupported versions
Versions fixed:    2.9.3, 2.8.9 and 2.7.11
Reported by:       Daniel Palou
Issue no.:         MDL-51861
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51861

==============================================================================
MSA-15-0044: Capability to view available badges is not respected

Description:       Logged in users who do not have capability 'View available
                   badges without earning them' can still access the full list
                   of badges
Issue summary:     Capability moodle/badges:viewbadges is not respected
Severity/Risk:     Minor
Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier
                   unsupported versions
Versions fixed:    2.9.3, 2.8.9 and 2.7.11
Reported by:       Marina Glancy
Issue no.:         MDL-51684
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51684

==============================================================================
MSA-15-0045: SCORM module allows to bypass access restrictions based on date

Description:       Incorrect and missing handling of availability dates in
                   mod_scorm let users to view the SCORM contents bypassing
                   the date restriction
Issue summary:     Incorrect and missing handling of availability dates in
                   mod_scorm let users to view the SCORM contents bypassing
                   the date restriction
Severity/Risk:     Minor
Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier
                   unsupported versions
Versions fixed:    2.9.3, 2.8.9 and 2.7.11
Reported by:       Juan Leyva
Issue no.:         MDL-50837
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50837

==============================================================================
MSA-15-0046: Choice module closing date can be bypassed

Description:       Users can mock URL to delete or submit new responses after
                   the choice module was closed
Issue summary:     Users can delete and submit new responses even when the
                   choice is closed
Severity/Risk:     Minor
Versions affected: 2.9 to 2.9.2, 2.8 to 2.8.8, 2.7 to 2.7.10 and earlier
                   unsupported versions
Versions fixed:    2.9.3, 2.8.9 and 2.7.11
Reported by:       Juan Leyva
Issue no.:         MDL-51569
CVE identifier:    Pending
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-51569

==============================================================================

#AW353 Moodle 2.9, 2.8.6, 2.7.8 y 2.6.11 están disponibles

 Moodle 2.9, 2.8.6, 2.7.8 and 2.6.11 are now available  

(Moodle 2.9, 2.8.6, 2.7.8 y 2.6.11 están disponibles)

  

UN MENSAJE PARA REGISTRADOS ADMINISTRADORES DE MOODLE

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.

Estoy escribiendo hoy para hacerle saber que Moodle 2.9, 2.8.6, 2.7.8 y 2.6.11 están disponibles a través de los canales habituales de descarga abierta: http://download.moodle.orgo Git.

Tenga en cuenta que la rama 2.7 a partir de ahora se admite en las revisiones de seguridad solamente hasta el 05 2017 y 2,6 rama ya no es compatible.

Notas de la versión están disponibles para cada nueva versión.

• Moodle 2.9 notas de liberación
• Moodle 2.8.6 notas de la versión
• Moodle 2.7.8 notas de la versión
• Moodle 2.6.11 notas de liberación

PROBLEMAS DE SEGURIDAD

Además de una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.

Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que los publiquemos más ampliamente en http://moodle.org/security en una semana.

Para evitar dejar su sitio vulnerable, le recomendamos que actualice sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, entonces por favor consulte la lista siguiente cuidadosamente y remendar su propio sistema o apagar esas características.

GRACIAS

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.

Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.

Marina Glancy
Desarrollo Process Manager, Moodle HQ

================================================== ============================
MSA-15-0018: Cuestionario manual de clasificación es un riesgo XSS, pero no declara que

Descripción: Dejar la regeneración libro de calificaciones es una acción de confianza y tal
                   capacidades en otros módulos ya tienen máscara XSS,
                   'Mod / quiz: grado' faltaba esta bandera.
Resumen Edición: Cuestionario manual de clasificación es un riesgo XSS, pero no declara
                   que
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Hugh Davenport
Emitir no .: MDL-49941
CVE identificador: CVE-2015-3174
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49941

================================================== ============================
MSA-15-0019: Posible phishing al redirigir al sitio externo utilizando árbitro
encabezamiento

Descripción: Algunos mensajes de error en pantalla Moodle botón para volver a
                   pagina anterior. Redirigir a árbitro no local no debe
                   ser permitido ya que potencialmente se puede utilizar para phising.
Resumen Edición: get_referer () se utiliza con redirección () puede ser insegura
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Dingjie Yang
Emitir no .: MDL-49179
CVE identificador: CVE-2015-3175
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49179

================================================== ============================
MSA-15-0020: nombre completo del usuario a través de la divulgación cuenta enlace de confirmación

Descripción: En los sitios con auto-registro habilitado no registrada
                   los usuarios pueden recuperar nombre completo de los usuarios registrados saber
                   sus nombres de usuario
Resumen Edición: nombre completo del usuario a través de la divulgación cuenta enlace de confirmación
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Federico Kirschbaum
Emitir no .: MDL-50099
Solución: Incluso parche parcial (eliminación de una línea en
                   /login/confirm.php) también resolverá problema de seguridad
CVE identificador: CVE-2015-3176
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50099

================================================== ============================
MSA-15-0021: Cualquier usuario autenticado puede suscribirse al monitor de eventos en todo el sitio
reglas

Descripción: Si se cumplen las normas en todo el sitio en la herramienta de monitor de eventos, cualquier
                   usuario puede suscribirse a ellos mismos y, potencialmente,
                   acceso a la información que no se supone que ver.
Resumen Edición: Cualquier usuario autenticado puede suscribirse a gran acontecimiento sitio
                   reglas del monitor
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5
Versiones fijas: 2.9 y 2.8.6
Reportado por: Adrian Greeve
Emitir no .: MDL-50039
Solución: No utilice reglas de todo el sitio hasta que su sitio se actualiza
CVE identificador: CVE-2015-3177
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50039

================================================== ============================
MSA-15-0022: Riesgo potencial XSS cuando el texto volviendo entró por estudiante de
Servicios Web

Descripción: Si el usuario que no es de confianza-XSS intentos para insertar el XSS
                   como parte del texto de entrada, que se limpia cuando
                   que aparece en el sitio web de Moodle pero puede aparecer sin limpiar
                   en la aplicación externa
Resumen Edición: external_format_text () limpia y formatos de texto de forma incorrecta
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Eloy Lafuente
Emitir no .: MDL-49718
CVE identificador: CVE-2015-3178
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49718

================================================== ============================
MSA-15 hasta 0023: el usuario suspendido es capaz de acceder al confirmar correo electrónico

Descripción: Cuando la auto-registro está habilitada y la cuenta de usuario era
                   suspendida después de crear la cuenta, pero antes de que realmente
                   confirmando que, el usuario todavía es capaz de acceder al confirmar
                   correo electrónico, pero sólo una vez.
Resumen Edición: usuario suspendido es capaz de acceder al confirmar correo electrónico
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Marina Glancy
Emitir no .: MDL-50090
CVE identificador: CVE-2015-3179
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50090

================================================== ============================
MSA-15-0024: El usuario con la matrícula suspendida puede ver secciones de la navegación
árbol

Descripción: Si un usuario está inscrito en el curso pero su matrícula es
                   suspendido, que no pueden acceder al curso, pero aún eran
                   capaz de ver la estructura del curso en el bloque de navegación
Resumen Problema: El usuario con la matrícula suspendida puede ver secciones de la
                   árbol de navegación
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Alex Mitin
Emitir no .: MDL-49788
CVE identificador: CVE-2015-3180
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49788

================================================== ============================
MSA-15-0025: Capacidad para gestionar archivos propios no se respeta en la Web
Servicios

Descripción: Los usuarios con la capacidad revocado
                   'Moodle / user: manageownfiles "son todavía capaces de cargar 
                   archivos privados que utilizan la función obsoleto en Servicios Web
Resumen Problema: Los usuarios con las manageownfiles discapacitados son capaces de cargar 
                   archivos privados a través de Web Services
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.5, 2.7 a 2.7.7, 2.6 a 2.6.10 y anteriores
                   versiones sin soporte
Versiones fijas: 2.9, 2.8.6, 2.7.8 y 2.6.11
Reportado por: Juan Leyva
Emitir no .: MDL-49994
CVE identificador: CVE-2015-3181
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49994

================================================== ============================ 

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.9, 2.8.6, 2.7.8 and 2.6.11 are available via the usual open download channels: http://download.moodle.org or Git.
Note that the 2.7 branch from now on is supported for security fixes only untill May 2017 and 2.6 branch is no longer supported.
Release notes are available for each new version.

• Moodle 2.9 release notes
• Moodle 2.8.6 release notes
• Moodle 2.7.8 release notes
• Moodle 2.6.11 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on http://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ

==============================================================================
MSA-15-0018: Quiz manual-grading is an XSS risk, but does not declare that

Description:       Leaving gradebook feedback is a trusted action and such
                   capabilities in other modules already have XSS mask,
                   'mod/quiz:grade' was missing this flag.
Issue summary:     Quiz manual-grading is an XSS risk, but does not declare
                   that
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Hugh Davenport
Issue no.:         MDL-49941
CVE identifier:    CVE-2015-3174
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49941

==============================================================================
MSA-15-0019: Possible phishing when redirecting to external site using referer
header

Description:       Some error messages in Moodle display button to return to
                   previous page. Redirecting to non-local referer should not
                   be allowed as it can potentially be used for phising.
Issue summary:     get_referer() used with redirect() can be insecure
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Dingjie Yang
Issue no.:         MDL-49179
CVE identifier:    CVE-2015-3175
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49179

==============================================================================
MSA-15-0020: User fullname disclosure through account confirmation link

Description:       On the sites with enabled self-registration not registered
                   users can retrieve fullname of registered users knowing
                   their usernames
Issue summary:     User fullname disclosure through account confirmation link
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Federico Kirschbaum
Issue no.:         MDL-50099
Workaround:        Even partial patch (removing one line in
                   /login/confirm.php) will also resolve security issue
CVE identifier:    CVE-2015-3176
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50099

==============================================================================
MSA-15-0021: Any authenticated user can subscribe to site-wide event monitor
rules

Description:       If the site-wide rules exist in the event monitor tool, any
                   user can subscribe themselves to them and potentially
                   access information they are not supposed to see.
Issue summary:     Any authenticated user can subscribe to site wide event
                   monitor rules
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5
Versions fixed:    2.9 and 2.8.6
Reported by:       Adrian Greeve
Issue no.:         MDL-50039
Workaround:        Do not use site-wide rules until your site is upgraded
CVE identifier:    CVE-2015-3177
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50039

==============================================================================
MSA-15-0022: Potential XSS risk when returning text entered by student from
Web Services

Description:       If user who is not XSS-trusted attempts to insert the XSS
                   as part of the input text, it will be cleaned when
                   displayed on Moodle website but may be displayed uncleaned
                   in the external application
Issue summary:     external_format_text() cleans and formats text incorrectly
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Eloy Lafuente
Issue no.:         MDL-49718
CVE identifier:    CVE-2015-3178
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49718

==============================================================================
MSA-15-0023: Suspended user is able to login when confirming email

Description:       When self-registration is enabled and user's account was
                   suspended after creating account but before actually
                   confirming it, user is still able to login when confirming
                   email but only once.
Issue summary:     Suspended user is able to login when confirming email
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Marina Glancy
Issue no.:         MDL-50090
CVE identifier:    CVE-2015-3179
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50090

==============================================================================
MSA-15-0024: User with suspended enrolment can see sections in the navigation
tree

Description:       If a user is enrolled in the course but his enrollment is
                   suspended, they can not access the course but still were
                   able to see course structure in the navigation block
Issue summary:     User with suspended enrolment can see sections in the
                   navigation tree
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Alex Mitin
Issue no.:         MDL-49788
CVE identifier:    CVE-2015-3180
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49788

==============================================================================
MSA-15-0025:       Capability to manage own files is not respected in Web
Services

Description:       Users with the revoked capability
                   'moodle/user:manageownfiles' are still able to upload 
                   private files using deprecated function in Web Services
Issue summary:     Users with the manageownfiles disabled are able to upload 
                   private files via Web Services
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.5, 2.7 to 2.7.7, 2.6 to 2.6.10 and earlier
                   unsupported versions
Versions fixed:    2.9, 2.8.6, 2.7.8 and 2.6.11
Reported by:       Juan Leyva
Issue no.:         MDL-49994
CVE identifier:    CVE-2015-3181
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49994

==============================================================================

Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles

Moodle 2.8.5, 2.7.7 and 2.6.10 are now available (Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles)

 

Un mensaje para registrados administradores de Moodle

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad Moodle cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con nuevas preferencias o usar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.
Estoy escribiendo hoy para hacerle saber que Moodle 2.8.5, 2.7.7 y 2.6.10 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git. Este lanzamiento sigue inmediatamente la liberación de 2.8.4, 2.7.6 y 2.6.9, que contenía una regresión de última hora que fue capturado después de que el embalaje.
Tenga en cuenta que la rama 2.6 es ahora compatible únicamente con parches de seguridad.
Notas de publicación están disponibles para cada nueva versión.

• Moodle 2.8.5 notas de la versión
• Moodle 2.7.7 notas de la versión
• Moodle 2.6.10 notas de liberación

Cuestiones de seguridad

Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulido, hay seis temas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estos temas por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en https://moodle.org/security en una semana.
Para evitar dejar su sitio vulnerable, le recomendamos que actualice los sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, consulte la siguiente lista con cuidado y remendar su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con más y más gente involucrada en todo momento.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Gerente de Desarrollo de Procesos, HQ Moodle

================================================== ============================
MSA-15-0010: Los contactos personales y el número de mensajes no leídos pueden ser reveladas

Descripción: Al modificar una URL conectado el usuario puede ver la lista de
                   contactos de otro usuario, número de mensajes no leídos y lista
                   de sus cursos.
Resumen Problema: Los contactos personales y el número de mensajes no leídos pueden ser
                   revelado
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Barry Oosthuizen
Emitir no .: MDL-49204
Solución: Desactivar la mensajería en el sitio
CVE identificador: CVE-2015-2266
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49204

================================================== ============================
MSA-15-0011: Autenticación en mdeploy se puede omitir

Descripción: Teóricamente posible extraer los archivos en cualquier lugar de la
                   sistema en el que el servidor web tiene acceso de escritura. Aunque
                   es bastante difícil de explotar desde atacante debe de usuario
                   conocer detalles sobre el sistema y ya tienen significativa
                   permisos en el sitio.
Resumen Edición: Autenticación en mdeploy se puede omitir
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Frédéric Massart
Emitir no .: MDL-49087
Solución: Elimine el mdeploy.php archivo o impedir el acceso a ella en el
                   configuración del servidor web
CVE identificador: CVE-2015-2267
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49087

================================================== ============================
MSA-15-0012: Redos Posible con enlaces filtro Convertir URLs

Descripción: expresión regular no es óptima en el filtro podría ser
                   explotado para crear carga del servidor adicional o hacer especial
                   La página no está disponible
Resumen Edición: Redos Posible con enlaces filtro Convertir URLs
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Rob
Emitir no .: MDL-38466
Solución: Desactivar enlaces a filtro de URLs
CVE identificador: CVE-2015-2268
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-38466

================================================== ============================
MSA-15-0013: título del bloque no escapó correctamente y puede causar la inyección HTML

Descripción: Es posible crear inyección HTML a través de bloques con
                   títulos configurables, sin embargo, esto sólo podían ser explotados
                   los usuarios que ya están marcados como XSS de confianza-
Resumen Edición: Título del bloque no escapó correctamente y puede causar HTML
                   inyección
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Gjoko Krstic
Emitir no .: MDL-49144
CVE identificador: CVE-2015-2269
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49144

================================================== ============================
MSA-15-0014: El potencial de divulgación de información para los cursos de difícil acceso

Descripción: Para los temas personalizados que utilizan bloques de regiones en la base
                   layout los bloques para los cursos podrían ser inaccesibles
                   aparece junto con el curso relacionada sensata
                   información. La mayoría de los temas, incluyendo todos los estándares
                   Temas de Moodle, no se ven afectados.
Resumen Edición: usuario invitado puede ver la información del curso que no deben ser
                   poder a través require_login
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Sam Hemelryk
Emitir no .: MDL-48804
CVE identificador: CVE-2015-2270
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48804

================================================== ============================
MSA-15-0015: El usuario sin el permiso adecuado es capaz de marcar la etiqueta como
inapropiado

Descripción: Caso muy menor de la capacidad de no respetar, no lo hace
                   afectar mayoría de los sitios desde esta capacidad se da a
                   los usuarios autenticados por defecto
Resumen Edición: Capacidad moodle / tag: bandera no observó
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Frédéric Massart
Emitir no .: MDL-49084
CVE identificador: CVE-2015-2271
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49084

================================================== ============================
MSA-15-0016: servicios Web testigo puede ser creado por el usuario con temporal
contraseña

Descripción: Incluso cuando la contraseña del usuario se ve obligado a cambiar el inicio de sesión,
                   usuario todavía podría usarla para la autenticación con el fin de
                   crear el servicio web token y, por tanto, extender la vida
                   de la contraseña temporal a través de servicios web.
Resumen Edición: login / token.php no comprueba si auth_forcepasswordchange
                   está en para el usuario
Severidad / Riesgo: Graves
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Juan Leyva
Emitir no .: MDL-48691
CVE identificador: CVE-2015-2272
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48691

================================================== ============================
MSA-15-0017: XSS en el informe de estadísticas de concursos

Descripción: Concurso informe de estadísticas no escapó correctamente estudiante
                   respuestas y podrían utilizarse para el ataque XSS
Resumen Edición: XSS en el informe de estadísticas de concursos
Severidad / Riesgo: Menor
Versiones afectadas: 2.8 a 2.8.3, 2.7 y 2.7.5, 2.6 a 2.6.8 y anteriores
                   versiones sin soporte
Versiones fijas: 2.8.4, 2.7.6 y 2.6.9
Reportado por: Tim Hunt
Emitir no .: MDL-49364
CVE identificador: CVE-2015-2273
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49364

================================================== ============================ 

---------- Forwarded message ----------
From: Moodle Security Alerts <securityalerts@moodle.org>
Date: 2015-03-10 3:39 GMT+01:00
Subject: Moodle 2.8.5, 2.7.7 and 2.6.10 are now available
To: rvlerma@gmail.com

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.8.5, 2.7.7 and 2.6.10 are available via the usual open download channels: https://download.moodle.org or Git. This release immediately follows the release of 2.8.4, 2.7.6 and 2.6.9 which contained a last-minute regression that was caught after the packaging.
Note that the 2.6 branch is now supported for security fixes only.
Release notes are available for each new version.

• Moodle 2.8.5 release notes
• Moodle 2.7.7 release notes
• Moodle 2.6.10 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are six security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ

==============================================================================
MSA-15-0010: Personal contacts and number of unread messages can be revealed

Description:       By modifying URL a logged in user can view the list of
                   another user's contacts, number of unread messages and list
                   of their courses.
Issue summary:     Personal contacts and number of unread messages can be
                   revealed
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Barry Oosthuizen
Issue no.:         MDL-49204
Workaround:        Disable messaging on site
CVE identifier:    CVE-2015-2266
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49204

==============================================================================
MSA-15-0011: Authentication in mdeploy can be bypassed

Description:       Theoretically possible to extract files anywhere on the
                   system where the web server has write access. Although it
                   is quite difficult to exploit since attacking user must
                   know details about the system and already have significant
                   permissions on the site.
Issue summary:     Authentication in mdeploy can be bypassed
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Frédéric Massart
Issue no.:         MDL-49087
Workaround:        Delete the file mdeploy.php or prevent access to it in the
                   web server config
CVE identifier:    CVE-2015-2267
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49087

==============================================================================
MSA-15-0012: ReDoS Possible with Convert links to URLs filter

Description:       Not optimal regular expression in the filter could be
                   exploited to create extra server load or make particular
                   page unavailable
Issue summary:     ReDoS Possible with Convert links to URLs filter
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Rob
Issue no.:         MDL-38466
Workaround:        Disable links to URLs filter
CVE identifier:    CVE-2015-2268
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-38466

==============================================================================
MSA-15-0013: Block title not properly escaped and may cause HTML injection

Description:       It is possible to create HTML injection through blocks with
                   configurable titles, however this could only be exploited
                   by users who are already marked as XSS-trusted
Issue summary:     Block title not properly escaped and may cause HTML
                   injection
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Gjoko Krstic
Issue no.:         MDL-49144
CVE identifier:    CVE-2015-2269
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49144

==============================================================================
MSA-15-0014: Potential information disclosure for the inaccessible courses

Description:       For the custom themes that use blocks regions in the base
                   layout the blocks for inaccessible courses could be
                   displayed together with sensible course-related
                   information. Majority of the themes, including all standard
                   Moodle themes, are not affected.
Issue summary:     Guest user can see course information they should not be
                   able to via require_login
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Sam Hemelryk
Issue no.:         MDL-48804
CVE identifier:    CVE-2015-2270
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48804

==============================================================================
MSA-15-0015: User without proper permission is able to mark the tag as
inappropriate

Description:       Very minor case of not respecting capability, it does not
                   affect majority of sites since this capability is given to
                   authenticated users by default
Issue summary:     Capability moodle/tag:flag not observed
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Frédéric Massart
Issue no.:         MDL-49084
CVE identifier:    CVE-2015-2271
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49084

==============================================================================
MSA-15-0016: Web services token can be created for user with temporary
password

Description:       Even when user's password is forced to be changed on login,
                   user could still use it for authentication in order to
                   create the web service token and therefore extend the life
                   of the temporary password via web services.
Issue summary:     login/token.php does not check if auth_forcepasswordchange
                   is on for the user
Severity/Risk:     Serious
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Juan Leyva
Issue no.:         MDL-48691
CVE identifier:    CVE-2015-2272
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48691

==============================================================================
MSA-15-0017: XSS in quiz statistics report

Description:       Quiz statistics report did not properly escape student
                   responses and could be used for XSS attack
Issue summary:     XSS in quiz statistics report
Severity/Risk:     Minor
Versions affected: 2.8 to 2.8.3, 2.7 to 2.7.5, 2.6 to 2.6.8 and earlier
                   unsupported versions
Versions fixed:    2.8.4, 2.7.6 and 2.6.9
Reported by:       Tim Hunt
Issue no.:         MDL-49364
CVE identifier:    CVE-2015-2273
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-49364

==============================================================================

A ver que depara esta alianza y que novedades van surgiendo.

Y hasta aquí esta entrada sobre Moodle 2.8.5, 2.7.7 y 2.6.10 están ahora disponibles

ENLACES RELACIONADOS

 MOODLE

ENLACES EXTERNOS


MOODLE - https://www.MOODLE.org


DIÁLOGO ABIERTO
 
Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Estas utilizando moodle como administrador? ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos. Hasta el próximo artículo...

¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...