#AW387 DISPONIBLE: Moodle 3.2.1, 3.1.4, 3.0.8 and 2.7.18 are now available

 

Aprovecho para pasaros una copia del aviso de los administradores de moodle sobre las nuevas actualizaciones de esta aplicación web para LMS.

Un mensaje para los administradores de Moodle registrados

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió Moodle noticias de seguridad cuando se registró un sitio Moodle. Si no desea que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con sus nuevas preferencias o utilizar el siguiente enlace para darse de baja. Las respuestas a este correo electrónico no será leído.
Estoy escribiendo hoy para hacerle saber que Moodle 3.2.1, 3.1.4, 3.0.8 y 2.7.18 están disponibles a través de los canales habituales de descarga abierta: https://download.moodle.org o Git.
notas de la versión están disponibles para cada nueva versión.

• Moodle 3.2.1 notas de la versión
• Moodle 3.1.4 notas de la versión
• Moodle 3.0.8 notas de la versión
• Moodle 2.7.18 notas de liberación

Temas de seguridad

Así como una larga lista de correcciones de errores, mejoras de rendimiento y de pulido, hay problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como administrador de Moodle registrada que le estamos dando aviso anticipado de estas cuestiones para que tenga algo de tiempo para solucionarlos antes de que las hayamos publicado más ampliamente en https://moodle.org/security en una semana. Usted será capaz de encontrar identificadores CVE allí también.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, por favor, compruebe la lista siguiente con cuidado y parchear su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y una con cada vez más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Marina Glancy
Desarrollo Process Manager, HQ Moodle

================================================== ============================

MSA-17-0001: Sistema de inclusión de archivo cuando se añade propio archivo preestablecido en el tema Boost

Descripción: Es posible leer un archivo del sistema al tratar de incluir
                   en el tema de impulso preestablecido. Esto sólo puede ser explotada por
                   administradores de Moodle y sólo es potencialmente peligroso en el revelador
                   modo de depuración.
Emisión Resumen: Sistema de archivo de inclusión cuando se añade propio archivo preestablecido (Boost
                   tema)
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2
Las versiones fijas: 3.2.1
Informado por: Frédéric Massart
Emitir ningún .: MDL-56992
Solución: Definir $ CFG-> debugdisplay = 0; y $ CFG-> debug = 0; en
                   config.php se aplica hasta que la solución
CVE identificador: -
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56992

================================================== ============================
MSA-17-0002: el saneamiento incorrecta de los atributos en los foros

Descripción: mensaje Foro autor puede cambiar demasiados campos durante la edición
                   el cargo
Resumen tema: el saneamiento incorrecta de los atributos
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2, 3.1 a 3.1.3, 3.0 a 3.0.7, 2.9 a 2.9.9, 2.8 a
                   2.8.12, 2.7 a 2.7.17 y versiones anteriores no compatibles
Versiones fijas: 3.2.1, 3.1.4, 3.0.8 y 2.7.17
Informado por: Anshul Jain
Emitir ningún .: MDL-56225
CVE identificador: CVE-2017-2576
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56225

================================================== ============================
MSA-17 hasta 0003: vulnerabilidad PHPMailer en dirección de la no-respuesta

Descripción: Fallo de seguridad se informó en contra PHPMailer,
                   biblioteca de terceros utilizado por Moodle. Como resultado Moodle
                   mejora de validación de dirección de la no-respuesta (que sólo puede haber
                   configurado por el administrador), todos los demás campos ya estaban
                   saneado correctamente. Este problema sólo afecta a los sitios que dejan
                   $ CFG-> smtphosts vacía.
Resumen Edición: Atender las vulnerabilidades en los últimos 5.2.x PHPMailer
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2, 3.1 a 3.1.3, 3.0 a 3.0.7, 2.9 a 2.9.9, 2.8 a
                   2.8.12, 2.7 a 2.7.17 y versiones anteriores no compatibles
Versiones fijas: 3.2.1, 3.1.4, 3.0.8 y 2.7.17
Informado por: Matteo Scaramuccia
Emitir ningún .: MDL-57531
Solución: Definir $ CFG-> noreplyaddress y $ CFG-> supportemail en
                   config.php
CVE identificador: CVE-2016 a 10045 (PHPMailer)
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57531

================================================== ============================
MSA-17 a 0004: XSS en la página de envío de la asignación

Descripción: inyección de HTML con un potencial ataque XSS fue posible gracias
                   modificar el URL para su presentación misiones y engañando
                   otro usuario en siguiéndolo
Resumen Edición: XSS en la página de envío de la asignación
Severidad / Riesgo: Menor
Las versiones afectadas: 3.2 y 3.1 a 3.1.3
Las versiones fijas: 3.2.1 y 3.1.4 (también portado a 2.7.17 y 3.0.8 como una
                   precaución)
Informado por: Hace Luberg y Wael AbuSeada
Emitir ningún .: MDL-57580
CVE identificador: solicitada, pero aún no ha recibido
Los cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57580

================================================== ============================ 

2017-01-09 3:57 GMT+01:00 Moodle Security Alerts <securityalerts@moodle.org>:

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 3.2.1, 3.1.4, 3.0.8 and 2.7.18 are available via the usual open download channels: https://download.moodle.org or Git.
Release notes are available for each new version.

• Moodle 3.2.1 release notes
• Moodle 3.1.4 release notes
• Moodle 3.0.8 release notes
• Moodle 2.7.18 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on https://moodle.org/security in one week. You will be able to find CVE identifiers there as well.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Marina Glancy
Development Process Manager, Moodle HQ

==============================================================================

MSA-17-0001: System file inclusion when adding own preset file in Boost theme

Description:       It is possible to read a system file by trying to include
                   it in boost theme preset. This can only be exploited by
                   moodle admins and only potentially dangerous in developer
                   debugging mode.
Issue summary:     System file inclusion when adding own preset file (Boost
                   theme)
Severity/Risk:     Minor
Versions affected: 3.2
Versions fixed:    3.2.1
Reported by:       Frédéric Massart
Issue no.:         MDL-56992
Workaround:        Define $CFG->debugdisplay=0; and $CFG->debug=0; in
                   config.php until the fix is applied
CVE identifier:    -
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56992

==============================================================================
MSA-17-0002: Incorrect sanitation of attributes in forums

Description:       Forum post author can change too many fields when editing
                   the post
Issue summary:     Incorrect sanitation of attributes
Severity/Risk:     Minor
Versions affected: 3.2, 3.1 to 3.1.3, 3.0 to 3.0.7, 2.9 to 2.9.9, 2.8 to
                   2.8.12, 2.7 to 2.7.17 and earlier unsupported versions
Versions fixed:    3.2.1, 3.1.4, 3.0.8 and 2.7.17
Reported by:       Anshul Jain
Issue no.:         MDL-56225
CVE identifier:    CVE-2017-2576
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56225

==============================================================================
MSA-17-0003: PHPMailer vulnerability in no-reply address

Description:       Security vulnerability was reported against PHPMailer,
                   third party library used by Moodle. As a result Moodle
                   improved validation of no-reply address (that can only be
                   configured by admin), all other fields were already
                   properly sanitized. This issue only affect sites that leave
                   $CFG->smtphosts empty.
Issue summary:     Address the vulnerabilities in recent PHPMailer 5.2.x
Severity/Risk:     Minor
Versions affected: 3.2, 3.1 to 3.1.3, 3.0 to 3.0.7, 2.9 to 2.9.9, 2.8 to
                   2.8.12, 2.7 to 2.7.17 and earlier unsupported versions
Versions fixed:    3.2.1, 3.1.4, 3.0.8 and 2.7.17
Reported by:       Matteo Scaramuccia
Issue no.:         MDL-57531
Workaround:        Define $CFG->noreplyaddress and $CFG->supportemail in
                   config.php
CVE identifier:    CVE-2016-10045 (PHPMailer)
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57531

==============================================================================
MSA-17-0004: XSS in assignment submission page

Description:       HTML injection with potential XSS attack was possible by
                   modifying URL for assignment submission and tricking
                   another user into following it
Issue summary:     XSS in assignment submission page
Severity/Risk:     Minor
Versions affected: 3.2 and 3.1 to 3.1.3
Versions fixed:    3.2.1 and 3.1.4 (also backported to 2.7.17 and 3.0.8 as a
                   precaution)
Reported by:       Ago Luberg and Wael AbuSeada
Issue no.:         MDL-57580
CVE identifier:    Requested but not yet received
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57580

==============================================================================

#AW380 @tuinstituto: Migra a MOODLE 3.0

http://www.tuinstitutoonline.es	Con el cambio de año, 2016 nos ha traido la migración del servicio gratuito de MOODLE denominado @tuinstituto Online de la versión 1 a la 3.                                    http://www.tuinstitutoonline.com/aula30/

En nuestro centro seguimos utilizando algunos profesores esta plataforma

I.E.S. Sant Vicent Ferrer (Algemesí, Valencia) (9)

 

 Pero hemos tenido que acceptar las nuevas condiciones de uso.

http://www.tuinstitutoonline.com/aula30/user/policy.php

En el presente documento se utilizarán indistintamente los términos La Asociación, la asociación Tu Instituto Online, el portal web o Tu Instituto Online para referirse al ámbito educativo desarrollado por la asociación sin ánimo de lucro Tu Instituto Online.

¿Qué es Tu Instituto Online?

TU INSTITUTO ONLINE es una asociación educativa y cultural sin ánimo de lucro cuyo fin social consiste en promover la excelencia en el proceso de aprendizaje del alumnado, mejorando continuamente la calidad de la docencia, fomentando la responsabilidad del profesorado y de los estudiantes, desarrollando las metodologías pedagógicas más eficaces en el ámbito de la educación y la enseñanza y realizando una labor de acción social sobre los alumnos con menos recursos.
La asociación Tu Instituto Online tiene su sede en Valencia (España) con CIF G98655137 y domicilio social en C/ Ribera, nº 14, pta 10, 5º piso, despacho B, CP 46002.
Dicha asociación está inscrita en el Registro Nacional de Asociaciones: Grupo: 1º / Sección: 1ª / Número Nacional: 606142.

Términos de Uso

Importante

Al darte de alta en  nuestro portal web www.TuInstitutoOnline.es / www.TuInstitutoOnline.com / www.TuInstitutoOnline.org para utilizar los recursos educativos puestos a tu disposición por la asociación sin ánimo de lucro, Tu Instituto Online, manifiestas expresamente haberte leído este documento, haberlo comprendido y estar plenamente de acuerdo con las normas de uso de este portal, así como con la política de privacidad y de protección de datos, que deberás respetar siempre.
Por favor, lee este documento detenidamente. Podrás encontrar siempre una copia actualizada aquí. 
Tu Instituto Online se reserva el derecho a modificar las condiciones en las que presta sus servicios cuando lo crea necesario por cuestiones técnicas, por cambios legislativos, por la modificación o finalización de acuerdos con terceros o para evitar daños o perjuicios a La Asociación. Se informará de dichos cambios en la página principal del portal web y podrás seguir usando los servicios con las nuevas condiciones o solicitar la baja en la dirección: baja@tuinstitutoonline.com.
Para cualquier duda, puedes ponerte en contacto con nosotros a través de la dirección de correo: legal@tuinstitutoonline.com. NO te registres en nuestra web si no comprendes las condiciones legales expresadas en este documento.
En caso de que tengas menos de catorce años de edad y quieras utilizar nuestros recursos educativos online, deberás pedir a tus progenitores (padre o madre) o tutores legales su autorización para registrarte en nuestro portal. Además, durante el proceso de registro, deberás indicar el nombre completo y correo electrónico de contacto de al menos uno de los progenitores o tutores.
En caso de que seas profesor y quieras utilizar nuestra plataforma y contenidos para enseñar a tus alumnos, también deberás leer y aceptar el contenido de este documento.
Al darte de alta en nuestro portal web y utilizar nuestra plataforma educativa, podrás recibir en tu cuenta de correo, información y publicidad sobre servicios y recursos relacionados con la educación en general y que pensemos que pueden ser interesantes para ti o para tu centro de estudios. Dichos recursos pueden ser propios o de terceros.
El envío de estas comunicaciones ayuda a pagar los gastos derivados del mantenimiento del portal web que te ofrecemos de manera completamente gratuita, por lo que NO es posible darse de baja de estas comunicaciones sin darse de baja completamente de nuestro portal web.
Toda comunicación por correo electrónico que puedas recibir, será enviada por nosotros o en nuestro nombre, pudiendo delegar dicha gestión en terceras empresas, que solamente conocerán tus datos para enviarte aquellas comunicaciones que nosotros queramos hacerte llegar. Nosotros solo te enviaremos información sobre servicios o recursos educativos que valoremos que son interesantes para ti.

Darte de alta en nuestro portal

El acceso a los servicios de Tu Instituto Online implica que te registres previamente y nos facilites una serie de datos identificativos y de contacto básicos para poder identificarte como usuario.
No importa si te registras como alumno o profesor, en ambos casos se te solicitarán el nombre, apellidos e instituto o centro educativo al que perteneces, además de una cuenta de correo electrónico válida como datos indispensables para usar nuestros servicios educativos. También podrás ubicar una foto, el nombre de tu ciudad y de tu país entre otros datos dentro de tu perfil, si así lo deseas, aunque NO son necesarios.
Con carácter general, el acceso y uso de nuestros servicios está prohibido a los usuarios menores de catorce años que no cuenten con la debida autorización parental de sus progenitores o tutores legales por lo que, mediante la aceptación de estas condiciones legales manifiestas ser mayor de dicha edad o, en su caso, contar con la correspondiente autorización previa y te responsabilizas enteramente de esta declaración.
Si eres menor de catorce años, necesitarás el consentimiento de tus progenitores o tutores y durante el proceso de registro, deberás indicar el nombre completo y correo de contacto de, al menos, uno de ellos.
No obstante, Tu Instituto Online podrá ponerse en contacto contigo, en cualquier momento, para que demuestres tu edad real aportándonos un documento oficial y, en su caso, que cuentas con la necesaria autorización parental. En el caso de que no nos facilites dicha documentación, desactivaremos y/o borraremos tu perfil. Dicha verificación también podrá hacerse con mediación del profesor que ha solicitado el uso de nuestros contenidos educativos en tu centro escolar, instituto o centro formativo/educativo.

Tus obligaciones

Siempre utilizarás nuestros servicios y recursos haciendo un uso correcto de los mismos, sin perjudicar a otros usuarios, conforme a la legalidad vigente, los principios de buena fe, la moral y el orden público.
Todas las herramientas colaborativas disponibles en nuestro portal están pensadas para el aprendizaje, por lo que las preguntas o cuestiones planteadas en foros y chats, así como los trabajos realizados y los documentos subidos al portal (fotos, PDF, videos, ficheros de audio, presentaciones, imágenes, actividades, cuestionarios, otros documentos, etc.) tienen que versar siempre sobre los conceptos estudiados y no deben emplearse para intercambiar información privada propia o de terceros que sea confidencial o que se refiera a hábitos, costumbres, ideología, religión, salud y cualquier otra de índole personal.
Queda prohibido cualquier acceso a nuestro portal contrario a lo previsto en el párrafo anterior, o cuya finalidad pueda resultar ilegal, racista, violenta, inapropiada, malintencionada, obscena, pornográfica, abusiva, difamatoria, engañosa, fraudulenta o que pueda perjudicar los derechos de otros usuarios, personas, colaboradores o miembros adheridos a la asociación Tu Instituto Online o de cualquier institución relacionada con los alumnos, profesorado o con la propia asociación.
Está prohibido utilizar los recursos y la plataforma tecnológica puesta a disposición de los alumnos y profesores, para publicar, difundir, comentar o exponer cualquier información de otros usuarios o personal ajeno al portal educativo.
Nuestra plataforma no puede usarse para acosar, difamar, insultar, dañar o intimidar a otras personas. En caso contrario, serán de aplicación las leyes vigentes y se derivarán las responsabilidades a que haya lugar.
Tú eres el responsable del uso que decidas hacer de nuestro portal, incluyendo los contenidos que decidas compartir o publicar en cada momento. Si bien la asociación Tu Instituto Online hará todo lo razonablemente posible para vigilar la legalidad de las imágenes, comentarios, información y demás contenidos que se encuentren en nuestro portal, nosotros solo actuamos como mero intermediario que pone a disposición de sus usuarios su plataforma tecnológica, asumiendo única y exclusivamente la responsabilidad derivada de la diligencia que le pudiera ser exigible por ley.
En lo que respecta a los contenidos que publiques como usuario en nuestro portal, garantizas, manteniendo indemne a La Asociación de cualquier responsabilidad al respecto, que eres el propietario o titular de los derechos necesarios para su publicación en Tu Instituto Online y/o bien que cuentas con la autorización o permisos necesarios para ello y que, en consecuencia, no se vulnera los derechos de terceros.
Por último,  debes tener en cuenta que los servicios y funcionalidades de nuestro portal se ofrecen exclusivamente para un uso personal y, por tanto, no puedes utilizarlo para una finalidad económica o comercial sin nuestra autorización.

Condiciones del Servicio

La asociación Tu Instituto Online se reserva el derecho a modificar, borrar y añadir contenidos en su portal web sin previo aviso y sin ofrecer garantías sobre la continuidad de los servicios prestados.
De igual modo, la Asociación tampoco garantiza la disponibilidad del mismo por causas ajenas, ni tampoco la velocidad de conexión, ya que depende del ancho de banda del usuario y del número de usuarios simultáneos usando nuestros servicios, que son de carácter gratuito y que sin embargo representan un coste económico para nosotros.
La Asociación no será responsable de la pérdida de los datos que se hayan almacenado en nuestro portal web y tengan su origen en el esfuerzo formativo llevado a cabo por los alumnos y profesores que emplean dichos servicios, como puedan ser notas, datos estadísticos, trabajos o archivos subidos al portal, comentarios, material, presentaciones, cuestionarios, actividades y en general cualquier tipo de datos que se hayan generado en nuestro portal por las acciones de aprendizaje llevadas a cabo por los alumnos o por las acciones de enseñanza efectuadas por el profesorado.
Para asegurar el correcto funcionamiento de la plataforma, las cuentas de usuarios que no se hayan conectado en los últimos 500 días (valor que podrá variar en un futuro) serán eliminadas automáticamente. Lo mismo sucederá con los cursos o categorías de cursos que no tengan actividad en los últimos 500 días (valor que puede diferir del anterior en un futuro). La Asociación no será responsable de la pérdida de la información contenida en dichos cursos y usuarios, siendo el propio usuario el responsable de guardar su información en otros medios antes de cumplir el plazo.
En caso de que La Asociación llegue a acuerdos con terceros para ofrecer nuevos recursos en la plataforma, los mismos estarán disponibles mientras dichos acuerdos lo permitan. Si se produce la extinción de estos acuerdos, nadie podrá exigir que dichos materiales puedan seguir utilizándose ni tampoco reclamar daños o perjuicio alguno derivados de su retirada.
Aquella información que consideremos relevante para ti sobre nuestros servicios, o aquellas novedades que sean importantes, las reflejaremos también a través de avisos en nuestro portal web.

Generación de Ingresos

Conoces y aceptas que en el portal web de Tu Instituto Online pueda haber contenidos publicitarios y que, por tanto, como usuario podrás acceder a publicidad de productos y servicios ofertados por nosotros, así como por terceras empresas y profesionales con los que tengamos acuerdos.
En tu cuenta de correo, podrás recibir información y publicidad sobre servicios y recursos relacionados con la educación en general y que pensemos que pueden ser interesantes para ti o para tu centro de estudios. Dichos recursos pueden ser propios o de terceros.
Dicha publicidad nos ayuda a sufragar los gastos de mantenimiento del portal web, así como los gastos de gestión de la asociación sin ánimo de lucro, Tu Instituto Online.

Ley Orgánica de Protección de Datos

Según La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre, te advertimos que la información proporcionada se almacenará en un fichero de datos que está registrado en la Agencia Española de Protección de Datos a nombre de la Asociación Tu Instituto Online, con CIF G98655137 y que ha sido creado exclusivamente con el fin de poder prestar nuestros servicios educativos en general.
Puedes ejercitar los derechos de acceso, rectificación, cancelación y oposición a través de la cuenta de correo lopd@tuinstitutoonline.com.
Dar de baja alguno de los datos que nos has facilitado al registrarte, supondrá automáticamente que te demos de baja en nuestro portal, dado que pedimos unos datos mínimos de registro y, por tanto, no podemos permitirte el acceso sin saber quién eres.
Al darte de alta en nuestro portal web y utilizar nuestra plataforma educativa, podrás recibir en tu cuenta de correo, información y publicidad sobre servicios y recursos relacionados con la educación en general y que pensemos que pueden ser interesantes para ti o para tu centro de estudios. Dichos recursos pueden ser propios o de terceros.
El envío de estas comunicaciones ayuda a pagar los gastos derivados del mantenimiento del portal web que te ofrecemos de manera completamente gratuita, por lo que NO es posible darse de baja de estas comunicaciones sin darse de baja completamente de nuestro portal web.
Toda comunicación por correo electrónico que puedas recibir, será enviada por nosotros o en nuestro nombre, pudiendo delegar dicha gestión en terceras empresas, que solamente conocerán tus datos para enviarte aquellas comunicaciones que nosotros queramos hacerte llegar. Nosotros solo te enviaremos información sobre servicios o recursos educativos que valoremos que son interesantes para ti.
Dado que un alumno o un profesor pueden emplear diferentes contenidos de diferentes asignaturas en nuestro portal web durante varios cursos consecutivos, si deseas que te demos de baja en el portal, tendrás que solicitarlo expresamente a través de nuestra dirección de correo: baja@tuinstitutoonline.com.
Te recomendamos que seas cuidadoso y controles la información personal que des sobre ti, o sobre amigos y familiares al emplear nuestros foros o chats, o al subir vídeos, imágenes, comentarios y documentos a la plataforma. Recuerda que este es un portal educativo y, por tanto, no se justifica que haya ningún tipo de información personal en el mismo.
Utiliza los recursos que ponemos a tu disposición y no proporciones ningún dato que no sea necesario para tu proceso de aprendizaje si eres un alumno, o para formar a tus alumnos, si eres un profesor.
Nosotros no vigilaremos la información que decidas compartir con otros usuarios y no nos haremos responsables de las consecuencias de tus propias acciones cuando las mismas excedan del ámbito del aprendizaje.
En cualquier caso, si se produjera alguna incidencia y nos avisas de ello, actuaremos con rapidez y responsabilidad con el fin de restablecer la situación.
Ten en cuenta que algunas empresas subcontratadas (por ejemplo las empresas de mantenimiento informático) podrían tener ocasionalmente acceso a tus datos e información personal, pero en ese caso sería bajo nuestro exclusivo control y con la única finalidad de prestarnos un servicio necesario para poder ofrecerte los servicios y funcionalidades que proporciona la asociación Tu Instituto Online.

Seguridad

Siempre velamos por la protección de nuestros usuarios, por lo que en caso de que detectes cualquier posible infracción sobre lo expuesto en estas condiciones de uso, podrás comunicárnoslo directamente a través de nuestra dirección de correo: legal@tuinstitutoonline.com.
Dado que son los profesores de los centros educativos los que normalmente solicitan emplear nuestros recursos y materiales, los alumnos pueden comunicarnos directamente las incidencias o hacerlo a través de su profesor con el fin de tratarlas lo más rápidamente posible.
Piensa que tú eres el único responsable de custodiar tus claves de acceso a nuestro portal, así como de los posibles daños y/o perjuicios que se pudiesen ocasionar debido a un uso no autorizado de las mismas.
Si detectas un uso no autorizado por parte de otras personas de tu cuenta de acceso a nuestro portal, así como un comportamiento inapropiado por parte del algún otro usuario, puedes comunicarlo a través del email: legal@tuinstitutoonline.com.
Tu Instituto Online podrá desactivar temporalmente o cancelar definitivamente cualquier perfil de usuario sin previo aviso y sin que ello dé derecho al usuario a compensación o indemnización alguna. A modo de ejemplo, en el momento en que tengamos indicios de que has podido suplantar la identidad de un tercero o que estás actuando en contra del propósito de este portal o contra los criterios o ideales de La Asociación, procederemos a cancelar tu perfil.
En caso de que esto suceda, y si la cuenta cancelada es la de un alumno, daremos parte al profesor o profesores que emplean nuestros recursos educativos para impartir la asignatura correspondiente en tu centro de estudios con el fin de que sepa porqué ya no puedes ni podrás acceder a nuestros contenidos a partir de ese momento.
En caso de que se cancele la cuenta de un profesor por uso malintencionado o doloso, los alumnos de sus cursos quedarán en situación de bloqueo temporal hasta que se resuelva la situación de su profesor. Si finalmente, la cuenta del profesor es cancelada de modo definitivo, la cuenta de todos sus alumnos asociados será igualmente deshabilitada.
Igualmente, pondremos en conocimiento de las autoridades competentes, cualquier posible infracción de la legislación vigente que sea detectada.

Propiedad Intelectual

Los contenidos educativos disponibles en nuestro portal han sido desarrollados por los asociados a Tu Instituto Online o cedidos para su uso por otros colaboradores externos, por lo que puedes utilizarlos para tu aprendizaje, pero no distribuirlos fuera de nuestra plataforma.
Si otras personas o centros están interesados en acceder a dichos materiales pueden ponerse en contacto con nosotros para utilizarlos, siempre que lo hagan dentro de las condiciones de uso de nuestro portal web y se mantenga la autoría de dicho material.
Nadie podrá emplear los contenidos de nuestro portal web para obtener beneficio económico sin el consentimiento de la asociación Tu Instituto Online, quien conserva la propiedad intelectual de todos los contenidos o al menos dispone de los derechos suficientes para utilizarlos en su portal permitiendo el acceso a los usuarios registrados como alumnos y profesores de centros escolares, colegios, institutos y otros centros educativos.
  

Responsabilidad

La Asociación Tu Instituto Online, no asume ninguna responsabilidad derivada de los problemas de acceso, disponibilidad, fallos en la infraestructura, o de mal funcionamiento por los recursos disponibles en nuestro portal.
Tampoco asume ninguna responsabilidad por causas ajenas a nuestros sistemas, como la calidad de la conexión de banda ancha en los centros educativos, el control ejercido en dichas líneas por algún otro organismo educativo de ámbito superior, el estado de las líneas o servidores de las empresas de telecomunicaciones, el correcto funcionamiento de Internet, los servidores raíz de DNS, o cualesquiera otras causas ajenas.
De la misma forma, recuerda que tú eres el único responsable de las interacciones que tengas con otros usuarios de nuestro portal, por lo que nosotros no nos hacemos responsables de los conflictos que, en su caso, pudieses tener al margen de lo previsto en estas condiciones legales. La Asociación  no estará obligada a mediar en dichos conflictos en caso de que surjan, aunque se reserva el derecho en caso de ser necesario.
Nuestro portal está pensado para ser utilizado por cualquier estudiante de España. Si nuestros materiales y  el propio portal se emplean en otros países, será de aplicación las normas y leyes vigentes en los mismos.
La utilización de nuestro portal desde países diferentes a España, se hará bajo la responsabilidad de los usuarios, que en cualquier caso deberán respetar las normas, leyes y restricciones impuestas en dichos países.
Las condiciones legales, podrán ser revisadas si la asociación Tu Instituto Online lo cree conveniente y sin previo aviso. En caso de que sean modificadas, informaremos debidamente de ello en nuestra web y podrás decidir aceptarlas, o darte de baja en nuestros servicios educativos.
En todo caso, los usuarios de los servicios que ofrece el portal se someterán a los juzgados y tribunales de la ciudad de Valencia (España), Europa.
 Y hasta aquí esta entrada sobre Apuntate al #RSEMOOC sobre Redes Sociales Educativas 2015

ENLACES RELACIONADOS

MOODLE

ENLACES EXTERNOS

APLICACIONES WEB 2ª Ed.: @tuinstituto : ¿Otro #Moodle gratuito? 

 APLICACIONES WEB 2ª Ed.: @tuinstituto Unidad 1. Actividades

APLICACIONES WEB 2ª Ed.: #AW362 @tuinstituto Unidad 4. Casos ...

DIÁLOGO ABIERTO  
Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Estas utilizando MOODLE? ¿Y el servicio de Tu Insituto Online? ¿Y vosotr@s alumn@s? Gracias por seguirnos y leernos.

Hasta el próximo artículo...

¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...

#WordPress 17. SEO y seguridad en WordPress (ÚLTIMA)

Por fin, finalizamos esta serie de artículos llamados #WordPress de la unidad 2 con la entrega 17 de 17 (ÚLTIMA) que nos llevaran cada martes hasta final de año (en principio era hasta Mayo de 2014 más o menos), pero se ha retrasado las entregas por el parón en el blog y estos últimos meses he acelerado las entregas para acabarla en 2014. Como ya sabéis todos esta unidad es la que esta de muestra en la página oficial y en el CEO Unidad 2 CMS con WP. Y en 2015 tengo pensada una nueva serie para esta unidad que llamare #ExprimeWordPress que estará basada en los articulo de esta revista especial que compre este verano  (junio 2014) en el quiosco y aún podéis conseguirla en papel o en su versión digital.

Los contenidos de cada semana coincidirán con cada uno de los apartados de la unidad 2:

1. ¿Qué es un sistema de gestión de contenidos?
2. Sistema gestor de contenidos WordPress
3. Estructura del CMS WordPress
4. Ajustes básicos de configuración y aspecto de WordPress
5. Usuarios de WordPress
6. Organización de los contenidos
7. Gestión de menús
8. Gestión de contenidos
9. Gestor de la página de inicio
10. Otros componentes de WordPress
11. Gestión de temas
12. Gestión de plugins
13. Sindicación
14. WordPress como blog
15. Copia y restauración del portal
16. Actualización de WordPress
17. SEO y seguridad en WordPress

Aquí tenéis el capitulo completo de muestra de esta segunda unidad en PDF sobre el CMS Wordpress:

	UNIDAD 2.- SISTEMAS GESTORES DE CONTENIDOS

Hoy seguimos esta serie #WordPress con la 17 entrega y última con unos consejos sobre SEO y seguridad en WordPress.

• All in one seo pack

https://wordpress.org/plugins/all-in-one-seo-pack

• Simple Google Sitemap XML 

https://wordpress.org/plugins/simple-google-sitemap-xml

• wordpress gzip compression

https://wordpress.org/plugins/wordpress-gzip-compression

Y hasta aquí esta 17 entrada (ÚLTIMA) con la serie #WordPress terminada sobre la unidad 2 del CMS WordPress. 

ENLACES RELACIONADOS

CEO
CMS
WordPress

ENLACES EXTERNOS


Tutorial sobre WordPress - http://tutorialwp.wordpress.com
WordPress.org  o es.wordpress.org  


DIÁLOGO ABIERTO

Esperando que os sea de interés y os aporte algo. ¿Nos gustaría saber si te ha gustado esta entrada? ¿Que tal la serie? ¿Vuestr@s alumn@s ya estan administrando su wordPress? ¿Y vosotr@s? Gracias por seguirnos y leernos. Hasta el próximo artículo...

¿Me regalas un tuit o tweet de esta entrada? Gracias por compartirla...

Moodle 2.7.2, 2.6.5 and 2.5.8 are now available

Un mensaje para registrados Administradores de Moodle

Este correo electrónico va a muchos miles de administradores de Moodle registrados. Usted está recibiendo este correo electrónico porque usted pidió noticias de seguridad de Moodle cuando se registró un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico, por favor, vuelva a registrar su sitio con las nuevas preferencias o utilizar el siguiente enlace para darse de baja. No se leen las respuestas a este correo electrónico.
Estoy escribiendo hoy para hacerle saber que Moodle 2.7.2, 2.6.5 y 2.5.8 están disponibles a través de los habituales canales de descarga abierta: http://download.moodle.org o Git.
Tenga en cuenta que la rama 2.5 es ahora compatible sólo con parches de seguridad.
Notas de la versión están disponibles para cada nueva versión.

• Moodle 2.7.2 notas de la versión
• Moodle 2.6.5 notas de la versión
• Moodle 2.5.8 notas de la versión

Cuestiones de seguridad

Además de una larga lista de correcciones de errores, mejoras de rendimiento y pulir, hay dos problemas de seguridad que debe tener en cuenta. Los detalles de estos problemas de seguridad se enumeran a continuación.
Como un administrador de Moodle registrado que le estamos dando aviso previo de estas cuestiones por lo que tiene algo de tiempo para corregirlos antes de que las hayamos publicado más ampliamente en http://moodle.org/security en una semana.
Para evitar dejar su sitio vulnerable, es muy recomendable actualizar sus sitios a la última versión de Moodle tan pronto como sea posible. Si no se puede actualizar, entonces por favor revise la siguiente lista con cuidado y remendar su propio sistema o apagar esas características.

Gracias

Gracias, como siempre, a todos los involucrados en la presentación de informes y las cuestiones de fijación. Realmente es un esfuerzo de equipo y uno con más y más personas que participan todo el tiempo.
Gracias por usar Moodle y ser parte de la comunidad de código abierto Moodle.
Michael de Raadt
Gerente de Desarrollo, HQ Moodle

================================================== =====================
MSA-14-0033: inyección de parámetro URL en la autenticación CAS

Descripción: Una falla en la biblioteca CAS de terceros, utilizados por
                   Moodle, se ha encontrado, que podría potencialmente
                   permitir el acceso no autorizado y escalada de privilegios.
Resumen Edición: Upgrade phpCAS a 1.3.3 o superior - la seguridad
                   vulnerabilidades
Severidad / Riesgo: Serious
Versiones afectadas: 2.7 a 2.7.1, 2.6 a 2.6.4, 2.5 a 2.5.7 y anteriores
                   versiones no compatibles
Versiones fijas: 2.7.2 y 2.6.5 (NOTA: Una solución al 2.5 no era
                   posible. Usuarios CAS con Moodle 2.5 o anterior se
                   animado a actualizar a una versión más reciente.)
Reportado por: Eric Merrill
Emitir no .: MDL-46766
CVE identificador: CVE-2014-4172
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-46766

================================================== =====================
MSA-14-0034: La información de identidad revelada a principios de Q & A foro

Descripción: Los usuarios que aún no se había publicado la respuesta requerida en
                   un Q & A foro con el fin de acceder a los mensajes anteriores fueron capaces
                   para ver el nombre de la última persona que había publicado.
Resumen Edición: Otros autores son visibles en /mod/forum/view.php
                   antes que el estudiante ha publicado su propia respuesta.
Severidad / Riesgo: Minor
Versiones afectadas: 2.7 a 2.7.1, 2.6 a 2.6.4, 2.5 a 2.5.7 y anteriores
                   versiones no compatibles
Versiones fijas: 2.7.2, 2.6.5 y 2.5.8
Reportado por: Amanda Doughty
Emitir no .: MDL-46619
CVE identificador: CVE-2014-3617
Cambios (maestro): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-46619

================================================== =====================

A Message for Registered Moodle Administrators

This email is going out to many thousands of registered Moodle admins. You are receiving this email because you asked for Moodle security news when you registered a Moodle site. If you don't want these emails then please re-register your site with your new preferences or use the unsubscribe link below. Replies to this email will not be read.
I'm writing today to let you know that Moodle 2.7.2, 2.6.5 and 2.5.8 are available via the usual open download channels: http://download.moodle.org or Git.
Note that the 2.5 branch is now supported for security fixes only.
Release notes are available for each new version.

• Moodle 2.7.2 release notes
• Moodle 2.6.5 release notes
• Moodle 2.5.8 release notes

Security Issues

As well as a long list of bug fixes, performance improvements and polishing, there are two security issues you should be aware of. Details of these security issues are listed below.
As a registered Moodle admin we are giving you advance notice of these issues so you have some time to fix them before we publish them more widely on http://moodle.org/security in one week.
To avoid leaving your site vulnerable, we highly recommend you upgrade your sites to the latest Moodle version as soon as you can. If you cannot upgrade, then please check the following list carefully and patch your own system or switch off those features.

Thanks

Thanks, as always, to EVERYONE involved in reporting and fixing issues. It really is a team effort and one with more and more people involved all the time.
Thanks for using Moodle and being part of the Moodle open source community.
Michael de Raadt
Development Manager, Moodle HQ

=======================================================================
MSA-14-0033: URL parameter injection in CAS authentication

Description:       A flaw in the third-party CAS library, utilised by
                   Moodle, has been found, which could potentially
                   allow unauthorised access and privilege escalation.
Issue summary:     Upgrade phpCAS to 1.3.3 or greater - security
                   vulnerabilities
Severity/Risk:     Serious
Versions affected: 2.7 to 2.7.1, 2.6 to 2.6.4, 2.5 to 2.5.7 and earlier
                   unsupported versions
Versions fixed:    2.7.2 and 2.6.5 (NOTE: A fix to 2.5 was not
                   possible. CAS users with Moodle 2.5 or earlier are
                   encouraged to upgrade to a more recent release.)
Reported by:       Eric Merrill
Issue no.:         MDL-46766
CVE identifier:    CVE-2014-4172
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-46766

=======================================================================
MSA-14-0034: Identity information revealed early in Q&A forum

Description:       Users who had not yet posted the required answer in
                   a Q&A forum in order to access past posts were able
                   to see the name of the last person who had posted.
Issue summary:     Other authors are visible in /mod/forum/view.php
                   before student has posted their own answer.
Severity/Risk:     Minor
Versions affected: 2.7 to 2.7.1, 2.6 to 2.6.4, 2.5 to 2.5.7 and earlier
                   unsupported versions
Versions fixed:    2.7.2, 2.6.5 and 2.5.8
Reported by:       Amanda Doughty
Issue no.:         MDL-46619
CVE identifier:    CVE-2014-3617
Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-46619

=======================================================================

URGENTE: Moodle 2.1.1, Moodle 2.0.4 y Moodle 1.9.13 están disponibles ahora con los parches de seguridad

Nos llega un nuevo aviso de actualización de seguridad desde Australia de su creador: Martin Dougiamas

Por lo que creamos una serie especifica a las actualizaciones que nos vayan llegando

1. URGENTE: Moodle 2.0.3 y Moodle 1.9.12 están disponibles ahora con revisiones de seguridad
2. URGENTE: Moodle 2.1.1, Moodle 2.0.4 y Moodle 1.9.13 están disponibles ahora con los parches de seguridad

Hola Administradores de Moodle registrados!

(Este correo electrónico está saliendo a más de 75.000 administradores de Moodle registrados. Usted
Recibes este mensaje porque usted pidió para Moodle noticias sobre seguridad
cuando se registró un sitio Moodle. Si usted no quiere que estos mensajes de correo electrónico
a continuación, ver el final de este e-mail para información acerca de darse de baja)

Estoy escribiendo hoy en día para hacerle saber que Moodle 2.1.1, 2.0.4, 1.9.12 y se
disponible a través de los canales habituales de descarga abierta
( http://download.moodle.org , CVS o Git).

La notas de la versión completa está aquí:

* http://docs.moodle.org/dev/Moodle_2.1.1_release_notes
* http://docs.moodle.org/dev/Moodle_2.0.4_release_notes
* http://docs.moodle.org/dev/Moodle_1.9.13_release_notes


CUESTIONES DE SEGURIDAD

Así como una larga lista de correcciones de errores, mejoras de rendimiento y
pulido, hay 9 temas de seguridad que debe tener en cuenta.

Como administrador de Moodle registrados que le estamos dando aviso previo de estas
problemas para que tenga tiempo para corregirlos antes de su publicación más
ampliamente en http://moodle.org/security y difundirlos.

Para evitar dejar su sitio vulnerable es muy recomendable actualizar
sus sitios a la última versión de Moodle, tan pronto como sea posible.

Si no se puede actualizar, por favor consulte la siguiente lista con cuidado y
poner en práctica las soluciones provisionales o parches.

Gracias como siempre a todos los involucrados en la información y de fijación de seguridad
problemas por todo su trabajo duro. Realmente es un esfuerzo de equipo y un
con más y más personas involucradas en todo momento.

Saludos y gracias por usar Moodle!


================================================== ==========
MSA-11-0018: A falta de controles sobre la capacidad de cohortes

Tema: Estudio de cohorte problemas plugin de inscribir a la capacidad y los desaparecidos
cohorte de control de acceso
Gravedad / riesgo: menor
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28462
Solución: actualizar a 2.0.4 o 2.1.1
Solución: Evite el uso de las cohortes

Descripción:
A fin de controlar de forma segura a la creación y supervisión de las cohortes,
capacidades adicionales han sido introducidos.

================================================== ==========
MSA-11-0019: Temas escribir en archivos fuera del directorio de datos Moodle

Tema: Tema carpeta de caché
Gravedad / riesgo: menor
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Mateo Davidson
El n °:. MDL-28147
Solución: actualizar a 2.0.4 o 2.1.1
Solución: aplicar el parche Git

Descripción:
Cuando la memoria caché está mal controlado por un tema, no fue el
posibilidad de escribir en el directorio temporal de un sistema de archivos.

================================================== ==========
MSA-11-0020: Siga los enlaces en los mensajes de error puede llevar fuera de las instalaciones

Tema: Continuación de enlace a veces puede enlace a otra página
Gravedad / riesgo: menor
Versiones afectadas: <01/09/13, <2.0.4, <2.1.1
Reportado por: Matt Meisberger
El n °:. MDL-27464
Solución: actualizar a la última versión
Solución: aplicar el parche

Descripción:
Era posible para los enlaces de mensajes de error de llevar fuera de las instalaciones

================================================== ==========
MSA-11-0021: no asignación de roles web función de servicio las siguientes restricciones

Tema: moodle_enrol_external: role_assign () no obedece a
restricciones de asignación de roles
Gravedad / riesgo: menor
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Petr Škoda
El n °:. MDL-28350
Solución: actualizar a 2.0.4 o 2.1.1
Solución: evitar el uso de servicios web

Descripción:
No todas las funciones pueden ser asignadas por todo el mundo en todos los contextos, pero esto
no se comprueba

================================================== ==========
MSA-11-0022: Curso de creadores podrían cambiar los filtros a nivel de curso

Tema: Curso papel creador tiene permisos incorrectos por defecto
Gravedad / riesgo: menor
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Ray Lawrence
El n °:. MDL-27994
Solución: modifique manualmente los permisos en sitios antiguos para eliminar
los derechos de los creadores de curso

Descripción:
Los permisos por defecto para los creadores de curso les permitió modificar
filtros de curso, que fue un problema para los usuarios con funciones mixtas

================================================== ==========
MSA-11-0023: Los clientes pueden añadir comentarios a las actividades de la primera página

Tema: Los clientes pueden añadir comentarios a las actividades de la primera página
Gravedad / riesgo: grave
Versiones afectadas: <2.0.4, <2.1.1 (1.9.x no afectados)
Reportado por: Helen Foster,
El n °:. MDL-28503
Solución: actualizar a 2.0.4 o 2.1.1
Solución: Evitar añadir bloques de comentarios a las páginas de acceso de los clientes

Descripción:
Con esta capacidad ha sido posible para los usuarios que no se registraron para
enviar comentarios.

================================================== ==========
MSA-11-0024: Reconocer las imágenes estaban siendo autenticado desde un servidor antiguo

Tema: Reconocer sigue siendo la autenticación de servidores antiguos en Moodle 1.9
Gravedad / riesgo: menor
Versiones afectadas: <01/09/13 (2.x no se ve afectada)
Reportado por: Ryan Charpentier
El n °:. MDL-27889
Solución: actualizar a 1.9.13
Solución: cambiar manualmente el URL de " https://www.google.com/recaptcha/api "

Descripción:
Moodle está todavía tratando de conectarse a servidores de la antigua Reconocer. Desde
Google ha comprado Reconocer, este servidor ha cambiado.

================================================== ==========
MSA-11-0025: Los nombres de grupo de usuarios subir CSV no se escapó

Tema: Vulnerabilidad de inyección SQL en el usuario cargar
Gravedad / riesgo: grave
Versiones afectadas: <01/09/13 (2.x no se ve afectada)
Reportado por: Matt Meisberger
El n °:. MDL-28197
Solución: actualizar a 1.9.13
Solución: las cotizaciones de escape en usuarios subir archivos CSV

Descripción:
Al cargar un archivo CSV con los nombres de grupos que contienen comillas, esto
podría arrojar el proceso de SQL. Esto sólo es aprovechable por los administradores,
pero accidentalmente podría conducir a la corrupción DB

================================================== ==========
MSA-11-0026: no en los campos de usuario subir CSV que se escapó

Tema: las inscripciones de archivos sin formato tiene varias de inyección SQL
vulnerabilidades
Gravedad / riesgo: grave
Versiones afectadas: <01/09/13 (2.x no se ve afectada)
Reportado por: Matt Meisberger
Nn problema:. MDL-28360
Solución: actualizar a 1.9.13
Solución: las cotizaciones de escape en usuarios subir archivos CSV

Descripción:
Al cargar un archivo CSV con campos que contienen comillas, esto podría
deshacerse de SQL de procesamiento. Esto sólo es aprovechable por los administradores, pero
accidental podría dar lugar a la corrupción DB

================================================== ==========
-
Usted está recibiendo este email porque se ha registrado un sitio Moodle con Moodle.org
y optó por añadir a esta lista de bajo volumen de las notificaciones de seguridad y otros
Moodle importantes anuncios relacionados con los administradores de Moodle.

Para darse de baja puede volver a registrar su sitio (como antes) y asegúrese de que
a su vez la opción de correo electrónico fuera en el formulario de inscripción. También puede enviar
un mensaje en blanco a sympa@lists.moodle.org con "securityalerts darse de baja"
como el tema (de la dirección de correo electrónico que está suscrito).

Ver http://lists.moodle.org/info/securityalerts para más.

---------- Forwarded message ----------
From: Martin Dougiamas <martin@moodle.com>
Date: 2011/8/1
Subject: [securityalerts] URGENT: Moodle 2.1.1, Moodle 2.0.4 and Moodle 1.9.13 are now available with security fixes
To: securityalerts <securityalerts@lists.moodle.org>


Hello registered Moodle Admins!

(This email is going out to over 75,000 registered Moodle admins. You
are receiving this email because you asked for Moodle security news
when you registered a Moodle site.  If you don't want these emails
then see the very end of this email for info about unsubscribing)

I'm writing today to let you know that Moodle 2.1.1, 2.0.4, and 1.9.12 are
available via the usual open download channels
(http://download.moodle.org, CVS or Git).

The full release notes are here:

 * http://docs.moodle.org/dev/Moodle_2.1.1_release_notes
 * http://docs.moodle.org/dev/Moodle_2.0.4_release_notes
 * http://docs.moodle.org/dev/Moodle_1.9.13_release_notes


SECURITY ISSUES

As well as a long list of bug fixes, performance improvements and
polishing, there are 9 security issues you should be aware of.

As a registered Moodle admin we are giving you advance notice of these
issues so you have some time to fix them before we publish them more
widely on http://moodle.org/security and publicize them.

To avoid leaving your site vulnerable we highly recommend you upgrade
your sites to the latest Moodle version as soon as you can.

If you cannot upgrade then please check the following list carefully and
implement the provided workarounds or patches.

Thanks as always to EVERYONE involved in reporting and fixing security
issues for all their hard work.  It really is a team effort and one
with more and more people involved all the time.

Cheers and thanks for using Moodle!


============================================================
MSA-11-0018: Lacking capability controls over cohorts

Topic:             Cohort enrol plugin capability problems and missing
cohort access control
Severity/Risk:     Minor
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Petr Škoda
Issue no.:         MDL-28462
Solution:          upgrade to 2.0.4 or 2.1.1
Workaround:        Avoid using cohorts

Description:
In order to securely control the creation and oversight of cohorts,
additional capabilities have been introduced.

============================================================
MSA-11-0019: Themes writing to files outside Moodle data directory

Topic:             Theme cache folder
Severity/Risk:     Minor
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Matthew Davidson
Issue no.:         MDL-28147
Solution:          upgrade to 2.0.4 or 2.1.1
Workaround:        apply Git patch

Description:
When caching is incorrectly controlled by a theme, there was the
potential for writing to a file system's temporary directory.

============================================================
MSA-11-0020: Continue links in error messages can lead offsite

Topic:             Continuation link can sometimes link offsite
Severity/Risk:     Minor
Versions affected: < 1.9.13, < 2.0.4, < 2.1.1
Reported by:       Matt Meisberger
Issue no.:         MDL-27464
Solution:          upgrade to latest version
Workaround:        apply patch

Description:
It was possible for error message links to lead offsite

============================================================
MSA-11-0021: Role assignment web service function not following restrictions

Topic:             moodle_enrol_external:role_assign() does not obey
role assignment restrictions
Severity/Risk:     Minor
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Petr Škoda
Issue no.:         MDL-28350
Solution:          upgrade to 2.0.4 or 2.1.1
Workaround:        avoid using web services

Description:
Not all roles may be assigned by everybody in all contexts, but this
was not being checked

============================================================
MSA-11-0022: Course creators could change filters at course level

Topic:             Course creator role has incorrect default permissions
Severity/Risk:     Minor
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Ray Lawrence
Issue no.:         MDL-27994
Solution:          Manually alter permissions in older sites to remove
rights from course creators

Description:
The default permission for course creators allowed them to alter
course filters, which was an issue for users with mixed roles

============================================================
MSA-11-0023: Guests can add comments to front page activities

Topic:             Guests can add comments to front page activities
Severity/Risk:     Serious
Versions affected: < 2.0.4, < 2.1.1 (1.9.x not affected)
Reported by:       Helen Foster
Issue no.:         MDL-28503
Solution:          upgrade to 2.0.4 or 2.1.1
Workaround:        Avoid adding comment blocks to pages accessible by guests

Description:
With this ability it was possible for users who were not logged in to
post comments.

============================================================
MSA-11-0024: Recaptcha images were being authenticated from an older server

Topic:             Recaptcha is still authenticating to old servers on Moodle 1.9
Severity/Risk:     Minor
Versions affected: < 1.9.13 (2.x not affected)
Reported by:       Ryan Charpentier
Issue no.:         MDL-27889
Solution:          upgrade to 1.9.13
Workaround:        manually change URL to "https://www.google.com/recaptcha/api"

Description:
Moodle is still trying to connect to the old Recaptcha servers. Since
Google has purchased Recaptcha, this server has changed.

============================================================
MSA-11-0025: Group names in user upload CSV not being escaped

Topic:             SQL injection vulnerability in user upload
Severity/Risk:     Serious
Versions affected: < 1.9.13 (2.x not affected)
Reported by:       Matt Meisberger
Issue no.:         MDL-28197
Solution:          upgrade to 1.9.13
Workaround:        Escape quotes in user upload CSV files

Description:
When uploading a CSV file with group names that contain quotes, this
could throw off SQL processing. This is only exploitable by admins,
but could accidentally lead to DB corruption

============================================================
MSA-11-0026: Fields in user upload CSV not being escaped

Topic:             Flat file enrollments has various sql injection
vulnerabilities
Severity/Risk:     Serious
Versions affected: < 1.9.13 (2.x not affected)
Reported by:       Matt Meisberger
Issue nos.:        MDL-28360
Solution:          upgrade to 1.9.13
Workaround:        Escape quotes in user upload CSV files

Description:
When uploading a CSV files with fields containing quotes, this could
throw off SQL processing. This is only exploitable by admins, but
could accidentally lead to DB corruption

============================================================
--
You are receiving this email because you registered a Moodle site with Moodle.org
and chose to be added to this low-volume list of security notifications and other
important Moodle-related announcements for Moodle administrators.

To unsubscribe you can re-register your site (as above) and make sure you
turn the email option OFF in the registration form.  You can also send
a blank email to sympa@lists.moodle.org with "unsubscribe securityalerts"
as the subject (from the email address that is subscribed).

See http://lists.moodle.org/info/securityalerts for more.