martes, 29 de julio de 2014

Múltiples vulnerabilidades en Moodle

Moodle ha publicado 13 nuevas alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde los habituales XSS hasta inyección de código. Se ven afectadas todas las ramas soportadas (2.7, 2.6, 2.5 y 2.4) y anteriores, ya fuera de mantenimiento de seguridad.

Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

12 de los 13 problemas anunciados son consideradas como serios, con CVE asociados del CVE-2014-3541 al CVE-2014-3553. Se incluyen diversas vulnerabilidades de Cross Site Scripting, XXE (XML External Entity) y de inyección de código.

Por otra parte un fallo en la autenticación Shibboleth podría permitir a un usuario tomar control sobre las sesiones de otros usuarios. Una vulnerabilidad podría permitir la obtención de nombres de usuario y cursos mediante la manipulación de "/user/edit.php" y otro problema en los foros podría permitir la escritura en grupos a los que no se tiene acceso.

Se han publicado las versiones 2.7.1, 2.6.4, 2.5.7 y 2.4.11 que solucionan todos los problemas y pueden descargarse desde su página oficial

Más información:

MSA-14-0020: Identity confusion in Shibboleth authentication

MSA-14-0021: Code injection in Repositories

MSA-14-0022: XML External Entity vulnerability in LTI module

MSA-14-0023: XML External Entity vulnerability in IMSCC and IMSCP

MSA-14-0024: Cross-site scripting vulnerability in profile field

MSA-14-0025: Remote code execution in Quiz

MSA-14-0026: Information leak in profile and notes pages

MSA-14-0027: Forum group posting issue

MSA-14-0028: Cross-site scripting possible in external badges

MSA-14-0029: Cross-site scripting vulnerability in exception dialogues

MSA-14-0030: Cross-site scripting through logs of failed logins

MSA-14-0031: Cross-site scripting though scheduled task error messages

MSA-14-0032: Cross-site scripting in advanced grading methods



Antonio Ropero

Twitter: @aropero

lunes, 28 de julio de 2014

Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización considerada importante del kernel de Red HatEnterprise Linux 6, 6.4 y 6.5 (cliente y servidor), que solventa dos nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para elevar sus privilegios en los sistemas afectados. 

El primero de los problemas corregidos, con CVE-2014-4699, reside en el subsistema ptrace y solo afecta a sistemas con CPU Intel. La segunda vulnerabilidad, con CVE-2014-4943, radica en la implementación PPP sobre L2TP en net/l2tp/l2tp_ppp.c. Ambos problemas podrían permitir a un usuario local elevar sus privilegios en el sistema.

Esta actualización está disponible desde Red Hat Network. Información sobre el uso de Red Hat Network para la instalación de la actualización está disponible en:

Más información:

Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2014-0925.html



Antonio Ropero
Twitter: @aropero