Mostrando entradas con la etiqueta revisiones. Mostrar todas las entradas
Mostrando entradas con la etiqueta revisiones. Mostrar todas las entradas

jueves, 16 de febrero de 2017

#AW390 MOODLE: Nueva versión 3.2.1-0.




Ya esta disponible la nueva versión del EVEA MOODLE.
En esta ocasión ya estamos en la Moodle versión 3.2.1-0.(desde bitnami para usuarios principiantes) o directamente desde la web oficial para usuarios avanzados.

Moodle downloads

https://download.moodle.org/






Espero que ahora si que podáis instalaros MOODLE en vuestro equipo o dominio a vuestro gusto.

ENLACES RELACIONADOS

1D. MOODLE Silla - Mi Perfil
1C. MOODLE Silla - Parametrizar Curso
1B. MOODLE Silla - Solicitar Curso
1A. El MOODLE de Silla en Valencia 


DIÁLOGO ABIERTO

 Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? Gracias por seguirnos y leernos. Hasta el próximo artículo...

 ¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

lunes, 6 de febrero de 2017

#AW388 MOODLE: Tipos de resumen



Como siempre hay cambios entre versiones del EVEA MOODLE.
En esta entrada voy a comentaros donde se encuentra ahora la opción
para modificar los tipos de resúmenes que la plataforma nos envía de
los mensajes que se generan en los diferentes foros donde participéis.


  • En primer lugar iremos a la opción de Preferencias de nuestro perfil.


  • En segundo lugar, dentro de las opciones de Cuenta de usuario, eligiéremos la opción de Configuración del foro.

  • Por último, ya podremos elegir que valor queremos para la opción de Tipo de resumen de correo

Espero que ahora si que podáis encontrar este parámetro y cambiarlo a vuestro gusto.

ENLACES RELACIONADOS

1D. MOODLE Silla - Mi Perfil
1C. MOODLE Silla - Parametrizar Curso
1B. MOODLE Silla - Solicitar Curso
1A. El MOODLE de Silla en Valencia 


DIÁLOGO ABIERTO

 Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? Gracias por seguirnos y leernos. Hasta el próximo artículo...

 ¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...
Publicado por en No hay comentarios:
Etiquetas: , , ,

martes, 10 de enero de 2017

#AW387 DISPONIBLE: Moodle 3.2.1, 3.1.4, 3.0.8 and 2.7.18 are now available

 




Aprovecho para pasaros una copia del aviso de los administradores de moodle sobre las nuevas actualizaciones de esta aplicación web para LMS.


Un mensaje para los administradores de Moodle registrados

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no será leído.
Estoy escribiendo hoy para hacerle saber que Moodle 3.2.1, 3.1.4, 3.0.8 y 2.7.18 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.

Temas de seguridad

Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que las hayamos publicado más ampliamente en https://moodle.org/security en una semana. Usted será capaz de encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con cada vez más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle 
================================================== ============================

MSA-17-0001: Sistema de inclusión de archivo cuando se añade propio archivo preestablecido en el tema Boost

Descripción: Es posible leer un archivo del sistema al tratar de incluir
                   en el tema de impulso preestablecido. Esto sólo puede ser explotada por
                   administradores de Moodle y sólo es potencialmente peligroso en el revelador
                   modo de depuración.
Emisión Resumen: Sistema de archivo de inclusión cuando se añade propio archivo preestablecido (Boost
                   tema)
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2
Las versiones fijas: 3.2.1
Informado por: Frédéric Massart
Emitir ningún .: MDL-56992
Solución: Definir $ CFG-> debugdisplay = 0; y $ CFG-> debug = 0; en
                   config.php se aplica hasta que la solución
CVE identificador: -
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56992

================================================== ============================
MSA-17-0002: el saneamiento incorrecta de los atributos en los foros

Descripción: mensaje Foro autor puede cambiar demasiados campos durante la edición
                   el cargo
Resumen tema: el saneamiento incorrecta de los atributos
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2, 3.1 a 3.1.3, 3.0 a 3.0.7, 2.9 a 2.9.9, 2.8 a
                   2.8.12, 2.7 a 2.7.17 y versiones anteriores no compatibles
Versiones fijas: 3.2.1, 3.1.4, 3.0.8 y 2.7.17
Informado por: Anshul Jain
Emitir ningún .: MDL-56225
CVE identificador: CVE-2017-2576
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56225

================================================== ============================
MSA-17 hasta 0003: vulnerabilidad PHPMailer en dirección de la no-respuesta

Descripción: Fallo de seguridad se informó en contra PHPMailer,
                   biblioteca de terceros utilizado por Moodle. Como resultado Moodle
                   mejora de validación de dirección de la no-respuesta (que sólo puede haber
                   configurado por el administrador), todos los demás campos ya estaban
                   saneado correctamente. Este problema sólo afecta a los sitios que dejan
                   $ CFG-> smtphosts vacía.
Resumen Edición: Atender las vulnerabilidades en los últimos 5.2.x PHPMailer
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2, 3.1 a 3.1.3, 3.0 a 3.0.7, 2.9 a 2.9.9, 2.8 a
                   2.8.12, 2.7 a 2.7.17 y versiones anteriores no compatibles
Versiones fijas: 3.2.1, 3.1.4, 3.0.8 y 2.7.17
Informado por: Matteo Scaramuccia
Emitir ningún .: MDL-57531
Solución: Definir $ CFG-> noreplyaddress y $ CFG-> supportemail en
                   config.php
CVE identificador: CVE-2016 a 10045 (PHPMailer)
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57531

================================================== ============================
MSA-17 a 0004: XSS en la página de envío de la asignación

Descripción: inyección de HTML con un potencial ataque XSS fue posible gracias
                   modificar el URL para su presentación misiones y engañando
                   otro usuario en siguiéndolo
Resumen Edición: XSS en la página de envío de la asignación
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2 y 3.1 a 3.1.3
Las versiones fijas: 3.2.1 y 3.1.4 (también portado a 2.7.17 y 3.0.8 como una
                   precaución)
Informado por: Hace Luberg y Wael AbuSeada
Emitir ningún .: MDL-57580
CVE identificador: solicitada, pero aún no ha recibido
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57580

================================================== ============================
2017-01-09 3:57 GMT+01:00 Moodle Security Alerts <securityalerts@moodle.org>:

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 3.2.1, 3.1.4, 3.0.8 and 2.7.18 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ
==============================================================================

MSA-17-0001: System file inclusion when adding own preset file in Boost theme

Description:       It is possible to read a system file by trying to include
                   it in boost theme preset. This can only be exploited by
                   moodle admins and only potentially dangerous in developer
                   debugging mode.
Issue summary:     System file inclusion when adding own preset file (Boost
                   theme)
Severity/Risk:     Minor
Versions affected: 3.2
Versions fixed:    3.2.1
Reported by:       Frédéric Massart
Issue no.:         MDL-56992
Workaround:        Define $CFG->debugdisplay=0; and $CFG->debug=0; in
                   config.php until the fix is applied
CVE identifier:    -
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56992

==============================================================================
MSA-17-0002: Incorrect sanitation of attributes in forums

Description:       Forum post author can change too many fields when editing
                   the post
Issue summary:     Incorrect sanitation of attributes
Severity/Risk:     Minor
Versions affected: 3.2, 3.1 to 3.1.3, 3.0 to 3.0.7, 2.9 to 2.9.9, 2.8 to
                   2.8.12, 2.7 to 2.7.17 and earlier unsupported versions
Versions fixed:    3.2.1, 3.1.4, 3.0.8 and 2.7.17
Reported by:       Anshul Jain
Issue no.:         MDL-56225
CVE identifier:    CVE-2017-2576
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56225

==============================================================================
MSA-17-0003: PHPMailer vulnerability in no-reply address

Description:       Security vulnerability was reported against PHPMailer,
                   third party library used by Moodle. As a result Moodle
                   improved validation of no-reply address (that can only be
                   configured by admin), all other fields were already
                   properly sanitized. This issue only affect sites that leave
                   $CFG->smtphosts empty.
Issue summary:     Address the vulnerabilities in recent PHPMailer 5.2.x
Severity/Risk:     Minor
Versions affected: 3.2, 3.1 to 3.1.3, 3.0 to 3.0.7, 2.9 to 2.9.9, 2.8 to
                   2.8.12, 2.7 to 2.7.17 and earlier unsupported versions
Versions fixed:    3.2.1, 3.1.4, 3.0.8 and 2.7.17
Reported by:       Matteo Scaramuccia
Issue no.:         MDL-57531
Workaround:        Define $CFG->noreplyaddress and $CFG->supportemail in
                   config.php
CVE identifier:    CVE-2016-10045 (PHPMailer)
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57531

==============================================================================
MSA-17-0004: XSS in assignment submission page

Description:       HTML injection with potential XSS attack was possible by
                   modifying URL for assignment submission and tricking
                   another user into following it
Issue summary:     XSS in assignment submission page
Severity/Risk:     Minor
Versions affected: 3.2 and 3.1 to 3.1.3
Versions fixed:    3.2.1 and 3.1.4 (also backported to 2.7.17 and 3.0.8 as a
                   precaution)
Reported by:       Ago Luberg and Wael AbuSeada
Issue no.:         MDL-57580
CVE identifier:    Requested but not yet received
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57580

==============================================================================



Publicado por en No hay comentarios:
Etiquetas: , , ,

viernes, 12 de agosto de 2011

URGENTE: Moodle 2.1.1, Moodle 2.0.4 y Moodle 1.9.13 están disponibles ahora con los parches de seguridad

Nos llega un nuevo aviso de actualización de seguridad desde Australia de su creador: Martin Dougiamas

Por lo que creamos una serie especifica a las actualizaciones que nos vayan llegando

  1. URGENTE: Moodle 2.0.3 y Moodle 1.9.12 están disponibles ahora con revisiones de seguridad
  2. URGENTE: Moodle 2.1.1, Moodle 2.0.4 y Moodle 1.9.13 están disponibles ahora con los parches de seguridad

Hola Administradores de Moodle registrados!

(Este correo electrónico está saliendo a más de 75.000 administradores de Moodle registrados. Usted
Recibes este mensaje porque usted pidió para Moodle noticias sobre seguridad
cuando se registró un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico
a continuación, ver el final de este e-mail para información acerca de darse de baja)

Estoy escribiendo hoy en día para hacerle saber que Moodle 2.1.1, 2.0.4, 1.9.12 y se
disponible a través de los canales habituales de descarga abierta
http://download.moodle.org , CVS o Git).

La notas de la versión completa está aquí:

http://docs.moodle.org/dev/Moodle_2.1.1_release_notes
http://docs.moodle.org/dev/Moodle_2.0.4_release_notes
http://docs.moodle.org/dev/Moodle_1.9.13_release_notes


CUESTIONES DE SEGURIDAD

Así como una larga lista de correcciones de errores, mejoras de rendimiento y
pulido, hay 9 temas de seguridad que debe tener en cuenta.

Como administrador de Moodle registrados que le estamos dando aviso previo de estas
problemas para que tenga tiempo para corregirlos antes de su publicación más
ampliamente en http://moodle.org/security y difundirlos.

Para evitar dejar su sitio vulnerable es muy recomendable actualizar
sus sitios a la última versión de Moodle, tan pronto como sea posible.

Si no se puede actualizar, por favor consulte la siguiente lista con cuidado y
poner en práctica las soluciones provisionales o parches.

Gracias como siempre a todos los involucrados en la información y de fijación de seguridad
problemas por todo su trabajo duro. Realmente es un esfuerzo de equipo y un
con más y más personas involucradas en todo momento.

Saludos y gracias por usar Moodle!


================================================== ==========
MSA-11-0018: A falta de controles sobre la capacidad de cohortes

Tema: Estudio de cohorte problemas plugin de inscribir a la capacidad y los desaparecidos
cohorte de control de acceso
Gravedad / riesgo: menor
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28462
Solución: actualizar a 2.0.4 o 2.1.1
Solución: Evite el uso de las cohortes

Descripción:
A fin de controlar de forma segura a la creación y supervisión de las cohortes,
capacidades adicionales han sido introducidos.

================================================== ==========
MSA-11-0019: Temas escribir en archivos fuera del directorio de datos Moodle

Tema: Tema carpeta de caché
Gravedad / riesgo: menor
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Mateo Davidson
El n °:. MDL-28147
Solución: actualizar a 2.0.4 o 2.1.1
Solución: aplicar el parche Git

Descripción:
Cuando la memoria caché está mal controlado por un tema, no fue el
posibilidad de escribir en el directorio temporal de un sistema de archivos.

================================================== ==========
MSA-11-0020: Siga los enlaces en los mensajes de error puede llevar fuera de las instalaciones

Tema: Continuación de enlace a veces puede enlace a otra página
Gravedad / riesgo: menor
Versiones afectadas: <01/09/13, <2.0.4, <2.1.1
Reportado por: Matt Meisberger
El n °:. MDL-27464
Solución: actualizar a la última versión
Solución: aplicar el parche

Descripción:
Era posible para los enlaces de mensajes de error de llevar fuera de las instalaciones

================================================== ==========
MSA-11-0021: no asignación de roles web función de servicio las siguientes restricciones

Tema: moodle_enrol_external: role_assign () no obedece a
restricciones de asignación de roles
Gravedad / riesgo: menor
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28350
Solución: actualizar a 2.0.4 o 2.1.1
Solución: evitar el uso de servicios web

Descripción:
No todas las funciones pueden ser asignadas por todo el mundo en todos los contextos, pero esto
no se comprueba

================================================== ==========
MSA-11-0022: Curso de creadores podrían cambiar los filtros a nivel de curso

Tema: Curso papel creador tiene permisos incorrectos por defecto
Gravedad / riesgo: menor
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Ray Lawrence
El n °:. MDL-27994
Solución: modifique manualmente los permisos en sitios antiguos para eliminar
los derechos de los creadores de curso

Descripción:
Los permisos por defecto para los creadores de curso les permitió modificar
filtros de curso, que fue un problema para los usuarios con funciones mixtas

================================================== ==========
MSA-11-0023: Los clientes pueden añadir comentarios a las actividades de la primera página

Tema: Los clientes pueden añadir comentarios a las actividades de la primera página
Gravedad / riesgo: grave
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Helen Foster,
El n °:. MDL-28503
Solución: actualizar a 2.0.4 o 2.1.1
Solución: Evitar añadir bloques de comentarios a las páginas de acceso de los clientes

Descripción:
Con esta capacidad ha sido posible para los usuarios que no se registraron para
enviar comentarios.

================================================== ==========
MSA-11-0024: Reconocer las imágenes estaban siendo autenticado desde un servidor antiguo

Tema: Reconocer sigue siendo la autenticación de servidores antiguos en Moodle 1.9
Gravedad / riesgo: menor
Versiones afectadas: <01/09/13 (2.x no se ve afectada)
Reportado por: Ryan Charpentier
El n °:. MDL-27889
Solución: actualizar a 1.9.13
Solución: cambiar manualmente el URL de " https://www.google.com/recaptcha/api "

Descripción:
Moodle está todavía tratando de conectarse a servidores de la antigua Reconocer. Desde
Google ha comprado Reconocer, este servidor ha cambiado.

================================================== ==========
MSA-11-0025: Los nombres de grupo de usuarios subir CSV no se escapó

Tema: Vulnerabilidad de inyección SQL en el usuario cargar
Gravedad / riesgo: grave
Versiones afectadas: <01/09/13 (2.x no se ve afectada)
Reportado por: Matt Meisberger
El n °:. MDL-28197
Solución: actualizar a 1.9.13
Solución: las cotizaciones de escape en usuarios subir archivos CSV

Descripción:
Al cargar un archivo CSV con los nombres de grupos que contienen comillas, esto
podría arrojar el proceso de SQL. Esto sólo es aprovechable por los administradores,
pero accidentalmente podría conducir a la corrupción DB

================================================== ==========
MSA-11-0026: no en los campos de usuario subir CSV que se escapó

Tema: las inscripciones de archivos sin formato tiene varias de inyección SQL
vulnerabilidades
Gravedad / riesgo: grave
Versiones afectadas: <01/09/13 (2.x no se ve afectada)
Reportado por: Matt Meisberger
Nn problema:. MDL-28360
Solución: actualizar a 1.9.13
Solución: las cotizaciones de escape en usuarios subir archivos CSV

Descripción:
Al cargar un archivo CSV con campos que contienen comillas, esto podría
deshacerse de SQL de procesamiento. Esto sólo es aprovechable por los administradores, pero
accidental podría dar lugar a la corrupción DB

================================================== ==========
-
Usted está recibiendo este email porque se ha registrado un sitio Moodle con Moodle.org
y optó por añadir a esta lista de bajo volumen de las notificaciones de seguridad y otros
Moodle importantes anuncios relacionados con los administradores de Moodle.

Para darse de baja puede volver a registrar su sitio (como antes) y asegúrese de que
a su vez la opción de correo electrónico fuera en el formulario de inscripción. También puede enviar
un mensaje en blanco a sympa@lists.moodle.org con "securityalerts darse de baja"
como el tema (de la dirección de correo electrónico que está suscrito).

Ver http://lists.moodle.org/info/securityalerts para más.




---------- Forwarded message ----------
From: Martin Dougiamas <martin@moodle.com>
Date: 2011/8/1
Subject: [securityalerts] URGENT: Moodle 2.1.1, Moodle 2.0.4 and Moodle 1.9.13 are now available with security fixes
To: securityalerts <securityalerts@lists.moodle.org>


Hello registered Moodle Admins!

(This email is going out to over 75,000 registered Moodle admins. You
are receiving this email because you asked for Moodle security news
when you registered a Moodle site.  If you don't want these emails
then see the very end of this email for info about unsubscribing)

I'm writing today to let you know that Moodle 2.1.1, 2.0.4, and 1.9.12 are
available via the usual open download channels
(http://download.moodle.org, CVS or Git).

The full release notes are here:

 * http://docs.moodle.org/dev/Moodle_2.1.1_release_notes
 * http://docs.moodle.org/dev/Moodle_2.0.4_release_notes
 * http://docs.moodle.org/dev/Moodle_1.9.13_release_notes


SECURITY ISSUES

As well as a long list of bug fixes, performance improvements and
polishing, there are 9 security issues you should be aware of.

As a registered Moodle admin we are giving you advance notice of these
issues so you have some time to fix them before we publish them more
widely on http://moodle.org/security and publicize them.

To avoid leaving your site vulnerable we highly recommend you upgrade
your sites to the latest Moodle version as soon as you can.

If you cannot upgrade then please check the following list carefully and
implement the provided workarounds or patches.

Thanks as always to EVERYONE involved in reporting and fixing security
issues for all their hard work.  It really is a team effort and one
with more and more people involved all the time.

Cheers and thanks for using Moodle!


============================================================
MSA-11-0018: Lacking capability controls over cohorts

Topic:             Cohort enrol plugin capability problems and missing
cohort access control
Severity/Risk:     Minor
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Petr Škoda
Issue no.:         MDL-28462
Solution:          upgrade to 2.0.4 or 2.1.1
Workaround:        Avoid using cohorts

Description:
In order to securely control the creation and oversight of cohorts,
additional capabilities have been introduced.

============================================================
MSA-11-0019: Themes writing to files outside Moodle data directory

Topic:             Theme cache folder
Severity/Risk:     Minor
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Matthew Davidson
Issue no.:         MDL-28147
Solution:          upgrade to 2.0.4 or 2.1.1
Workaround:        apply Git patch

Description:
When caching is incorrectly controlled by a theme, there was the
potential for writing to a file system's temporary directory.

============================================================
MSA-11-0020: Continue links in error messages can lead offsite

Topic:             Continuation link can sometimes link offsite
Severity/Risk:     Minor
Versions affected: < 1.9.13, < 2.0.4, < 2.1.1
Reported by:       Matt Meisberger
Issue no.:         MDL-27464
Solution:          upgrade to latest version
Workaround:        apply patch

Description:
It was possible for error message links to lead offsite

============================================================
MSA-11-0021: Role assignment web service function not following restrictions

Topic:             moodle_enrol_external:role_assign() does not obey
role assignment restrictions
Severity/Risk:     Minor
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Petr Škoda
Issue no.:         MDL-28350
Solution:          upgrade to 2.0.4 or 2.1.1
Workaround:        avoid using web services

Description:
Not all roles may be assigned by everybody in all contexts, but this
was not being checked

============================================================
MSA-11-0022: Course creators could change filters at course level

Topic:             Course creator role has incorrect default permissions
Severity/Risk:     Minor
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Ray Lawrence
Issue no.:         MDL-27994
Solution:          Manually alter permissions in older sites to remove
rights from course creators

Description:
The default permission for course creators allowed them to alter
course filters, which was an issue for users with mixed roles

============================================================
MSA-11-0023: Guests can add comments to front page activities

Topic:             Guests can add comments to front page activities
Severity/Risk:     Serious
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Helen Foster
Issue no.:         MDL-28503
Solution:          upgrade to 2.0.4 or 2.1.1
Workaround:        Avoid adding comment blocks to pages accessible by guests

Description:
With this ability it was possible for users who were not logged in to
post comments.

============================================================
MSA-11-0024: Recaptcha images were being authenticated from an older server

Topic:             Recaptcha is still authenticating to old servers on Moodle 1.9
Severity/Risk:     Minor
Versions affected: < 1.9.13 (2.x not affected)
Reported by:       Ryan Charpentier
Issue no.:         MDL-27889
Solution:          upgrade to 1.9.13
Workaround:        manually change URL to "https://www.google.com/recaptcha/api"

Description:
Moodle is still trying to connect to the old Recaptcha servers. Since
Google has purchased Recaptcha, this server has changed.

============================================================
MSA-11-0025: Group names in user upload CSV not being escaped

Topic:             SQL injection vulnerability in user upload
Severity/Risk:     Serious
Versions affected: < 1.9.13 (2.x not affected)
Reported by:       Matt Meisberger
Issue no.:         MDL-28197
Solution:          upgrade to 1.9.13
Workaround:        Escape quotes in user upload CSV files

Description:
When uploading a CSV file with group names that contain quotes, this
could throw off SQL processing. This is only exploitable by admins,
but could accidentally lead to DB corruption

============================================================
MSA-11-0026: Fields in user upload CSV not being escaped

Topic:             Flat file enrollments has various sql injection
vulnerabilities
Severity/Risk:     Serious
Versions affected: < 1.9.13 (2.x not affected)
Reported by:       Matt Meisberger
Issue nos.:        MDL-28360
Solution:          upgrade to 1.9.13
Workaround:        Escape quotes in user upload CSV files

Description:
When uploading a CSV files with fields containing quotes, this could
throw off SQL processing. This is only exploitable by admins, but
could accidentally lead to DB corruption

============================================================
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.

To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form.  You can also send
a blank email to sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).

See http://lists.moodle.org/info/securityalerts for more.
Publicado por en No hay comentarios:
Etiquetas: , , ,

miércoles, 11 de mayo de 2011

URGENTE: Moodle 2.0.3 y Moodle 1.9.12 están disponibles ahora con revisiones de seguridad

Una vez ya os hemos presentado al su inventor y alma mater del proyecto MOODLE


Martin Dougiamas, el creador de moodle


Os voy a copiar un mensaje de seguridad de los que suele ir enviando el propio creador de moodle, para advertir de problemas de seguridad que hay que arreglar de manera URGENTE para evitar agujeros de seguridad o problemas varios, se los envía a todos aquellos administradores de algún moodle que se hayan registrado como tal en su web, así que si queréis seguir informados registraros...



(URGENTE: Moodle 2.0.3 y Moodle 1.9.12 están disponibles ahora con revisiones de seguridad) [securityalerts] URGENT: Moodle 2.0.3 and Moodle 1.9.12 are now available with security fixes

Hola registrados Moodle Administradores!

(Este mensaje va a más de 75.000 registrados administradores de Moodle.
está recibiendo este correo electrónico porque usted pidió noticias de seguridad de Moodle
cuando se registró un sitio Moodle. Si no quiere que estos mensajes de correo electrónico
a continuación, ver el final de este correo electrónico para obtener más información acerca de darse de baja)

Estoy escribiendo hoy en día para hacerle saber que Moodle 2.0.3 y 1.9.12 son
disponible a través de los habituales canales de descarga libre
( http://download.moodle.org , CVS o Git).

Las notas de la versión aquí (y todavía está ampliando):

* http://docs.moodle.org/en/Moodle_2.0.3_release_notes
* http://docs.moodle.org/en/Moodle_1.9.12_release_notes


CUESTIONES DE SEGURIDAD

Así como una larga lista de correcciones de errores, mejoras de rendimiento y
pulir, hay una serie de cuestiones de seguridad debe tener en cuenta
de.

Como administrador de Moodle registrados les estamos avisando con antelación de estos
cuestiones para que tenga tiempo para corregirlos antes de que los publiquemos más
ampliamente en http://moodle.org/security y hacerlas públicas.

Para evitar dejar su sitio vulnerables le recomendamos actualizar
sus sitios a la última versión de Moodle tan pronto como pueda, pero si
Realmente no se puede entonces por favor revise la siguiente lista con cuidado y
aplicar las soluciones provisionales o parches.



==============================
==================== ==========
MSA-11-0012: problema de autenticación

Tema: "cambiar la contraseña de la Fuerza" no pasa
De gravedad / riesgo: menor
Versiones afectadas: <2.0.3 (1.9.x no se ve afectada)
Reportado por: Stephen general
El n °:. MDL-26803
Solución: actualizar a 2.0.3
Solución: Después de cargar los usuarios a través de CSV, cambie la contraseña usando la fuerza
acciones en bloque de usuario

Descripción:
Esta vulnerabilidad permite a los usuarios nuevos que se agregaron a través de CSV para ganar
acceso sin necesidad de cambiar su contraseña.

================================================== ==========
MSA-11-0013: Grupo / Quiz problema de permisos

Tema: Página de Prueba de examen no comprueba y modo de aplicación grupos separados
De gravedad / riesgo: grave
Versiones afectadas: <1.9.12 y <2.0.3
Browne Claire: Reportado por
El n °:. MDL-25122
Solución: actualizar a la última versión
Solución: retirar el permiso para ver los informes de prueba

Descripción:
Cuando un maestro es asignado a un grupo que puede ver los informes de prueba para
todos los estudiantes, no sólo a los estudiantes en su grupo.

================================================== ==========
MSA-11-0014: Los datos personales que aparecen sin permiso

Tema: Sistema de fugas perfil de usuario de correo electrónico cuando se maildisplay == 2
De gravedad / riesgo: grave
Versiones afectadas: <2.0.3 (1.9.x no se ve afectada)
Reportado por: Petr Škoda
El n °:. MDL-26621
Solución: actualizar a 2.0.3
Solución: desactivar la pantalla de correo electrónico en los perfiles

Descripción:
Las direcciones de correo electrónico de los usuarios se mostraban en la página de perfil completo
cuando había indicado que debe aparecer a los miembros del curso solamente.

================================================== ==========
MSA-11-0015: Cross Site Scripting a través de la codificación URL

Tema: Cross Site Scripting en varias páginas
De gravedad / riesgo: grave
Versiones afectadas: <1.9.12
Reportado por: Petasis Panagiotis
El n °:. MDL-26966
Solución: actualizar a la última versión

Descripción:
Una evaluación de la vulnerabilidad realizado por el escáner reveló Acunetix Web
posibles vulnerabilidades XSS en algunas páginas. Todas ellas han sido
fija.

================================================== ==========
MSA-11-0016: Calificaciones de suplantación de identidad puede resultar en datos no válidos

Tema: Capacidad para llenar una base de datos con registros inválidos a través de calificaciones
De gravedad / riesgo: grave
Versiones afectadas: <2.0.3 (1.9.x no se ve afectada)
Hemelryk Sam: Reportado por
El n °:. MDL-26838
Solución: actualizar a la última versión
Solución: Evitar el uso de calificaciones

Descripción:
Es posible si se inicia sesión como un usuario autenticado para generar
registros inválidos en la tabla de clasificación de la base de datos, y si
alguien tenía la intención de destrucción haciendo fácilmente podría escribir un simple
script para la base de datos de spam.

================================================== ==========
MSA-11-0017: comentarios suplantación puede dar lugar a datos no válidos

Tema: Capacidad de generar registros inválidos en la tabla de comentarios en la base de datos
De gravedad / riesgo: grave
Versiones afectadas: <2.0.3 (1.9.x no se ve afectada)
Hemelryk Sam: Reportado por
El n °:. MDL-26854
Solución: actualizar a la última versión
Solución: Evitar el uso de comentarios

Descripción:
Esto es un error importante en el sistema de comentarios que permite una
usuario autenticado para llenar la mesa de comentarios en la base de datos con
completamente registros inválidos.


================================================== ==========
Gracias como siempre a todos los involucrados en la presentación de informes y la fijación de seguridad
cuestiones por todo su trabajo duro. Realmente es un esfuerzo de equipo y un
con más y más personas que participan todo el tiempo.

Saludos y gracias por usar Moodle!
Martin Dougiamas (fundador y desarrollador principal de Moodle)

-
/ / / Moodle - software de código abierto para el aprendizaje colaborativo
/ / /
/ / / Software libre, comunidad, información: http://moodle.org
/ / / Soporte comercial y otros servicios: http://moodle.com
-
Usted está recibiendo este mensaje porque se ha registrado un sitio Moodle con Moodle.org
y optó por añadir a esta lista de bajo volumen de las notificaciones de seguridad y otros
Moodle importantes anuncios relacionados con los administradores de Moodle.

Para darse de baja puede volver a registrar su sitio (como antes) y asegúrese de que
apagar la opción de correo electrónico en el formulario de inscripción. Usted también puede enviar
un mensaje en blanco a sympa@lists.moodle.org con "securityalerts darse de baja"
como el tema (de la dirección de correo electrónico que está suscrito).

Ver http://lists.moodle.org/info/securityalerts para más.







---------- Forwarded message ----------
From: Martin Dougiamas <martin@moodle.com>
Date: 2011/5/10
Subject: [securityalerts] URGENT: Moodle 2.0.3 and Moodle 1.9.12 are now available with security fixes
To: securityalerts@lists.moodle.org


Hello registered Moodle Admins!

(This email is going out to over 75,000 registered Moodle admins. You
are receiving this email because you asked for Moodle security news
when you registered a Moodle site.  If you don't want these emails
then see the very end of this email for info about unsubscribing)

I'm writing today to let you know that Moodle 2.0.3 and 1.9.12 are
available via the usual open download channels
(http://download.moodle.org, CVS or Git).

The release notes are here (and still being expanded):

 * http://docs.moodle.org/en/Moodle_2.0.3_release_notes
 * http://docs.moodle.org/en/Moodle_1.9.12_release_notes


SECURITY ISSUES

As well as a long list of bug fixes, performance improvements and
polishing, there are a number of security issues you should be aware
of.

As a registered Moodle admin we are giving you advance notice of these
issues so you have some time to fix them before we publish them more
widely on http://moodle.org/security and publicize them.

To avoid leaving your site vulnerable we highly recommend you upgrade
your sites to the latest Moodle version as soon as you can, but if you
really can't then please check the following list carefully and
implement the provided workarounds or patches.



============================================================
MSA-11-0012: Authentication issue

Topic: "Force password change" not happening
Severity/Risk: Minor
Versions affected: < 2.0.3 (1.9.x not affected)
Reported by: Stephen Overall
Issue no.: MDL-26803
Solution: upgrade to 2.0.3
Workaround: After uploading users via CSV, force password change using
bulk user actions

Description:
This vulnerability allows new users who were added via CSV to gain
access without being required to change their password.

============================================================
MSA-11-0013: Group/Quiz permissions issue

Topic: Quiz review page does not check and enforce separate groups mode
Severity/Risk: Serious
Versions affected: < 1.9.12 and < 2.0.3
Reported by: Claire Browne
Issue no.: MDL-25122
Solution: upgrade to latest version
Workaround: remove permission to view quiz reports

Description:
When a teacher is assigned to a group they can view quiz reports for
all students, not just the students in their group.

============================================================
MSA-11-0014: Personal details displayed without permission

Topic: System user profile leaks email when maildisplay == 2
Severity/Risk: Serious
Versions affected: < 2.0.3 (1.9.x not affected)
Reported by: Petr Škoda
Issue no.: MDL-26621
Solution: upgrade to 2.0.3
Workaround: disable email display in profiles

Description:
Email addresses of users were being displayed on the full profile page
when they had indicated it should appear to course members only.

============================================================
MSA-11-0015: Cross Site Scripting through URL encoding

Topic: Cross Site Scripting in multiple pages
Severity/Risk: Serious
Versions affected: < 1.9.12
Reported by: Panagiotis Petasis
Issue no.: MDL-26966
Solution: upgrade to latest version

Description:
A vulnerability assessment done by the Acunetix Web Scanner revealed
possible XSS vulnerabilities in some pages.  These have all been
fixed.

============================================================
MSA-11-0016: Spoofing ratings can result in invalid data

Topic: Ability to fill a database with invalid records through ratings
Severity/Risk: Serious
Versions affected: < 2.0.3 (1.9.x not affected)
Reported by: Sam Hemelryk
Issue no.: MDL-26838
Solution: upgrade to latest version
Workaround: Avoid using ratings

Description:
It is possible if logged in as an authenticated user to generate
invalid records within the rating table of the database, and if
someone was intent of doing destruction could easily write a simple
script to spam the database.

============================================================
MSA-11-0017: Spoofing comments can result in invalid data

Topic: Ability to generate invalid records in the comments table in the database
Severity/Risk: Serious
Versions affected: < 2.0.3 (1.9.x not affected)
Reported by: Sam Hemelryk
Issue no.: MDL-26854
Solution: upgrade to latest version
Workaround: Avoid using comments

Description:
This is a significant bug in the comments system which allows an
authenticated user to fill the comments table in the database with
completely invalid records.


============================================================
Thanks as always to EVERYONE involved in reporting and fixing security
issues for all their hard work.  It really is a team effort and one
with more and more people involved all the time.

Cheers and thanks for using Moodle!
Martin Dougiamas (Moodle founder and lead developer)

--
/// Moodle - open-source software for collaborative learning
///
/// Free software, community, information: http://moodle.org
/// Commercial support and other services: http://moodle.com
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.

To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form.  You can also send
a blank email to sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).

See http://lists.moodle.org/info/securityalerts for more.
Publicado por en No hay comentarios:
Etiquetas: , , ,
Suscribirse a: Entradas (Atom)

LinkWithin

Related Posts Plugin for WordPress, Blogger...