lunes, 19 de enero de 2015

Múltiples vulnerabilidades en Moodle

Moodle ha publicado ocho alertas de seguridad en las que se corrigen otras tantas vulnerabilidades con diversos efectos, desde denegaciones de servicio hasta los habituales cross-site scripting y cross-site request forgery. Se ven afectadas todas las ramas soportadas 2.8, 2.7, 2.6  y anteriores versiones ya fuera de soporte. 

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado ocho boletines de seguridad (del MSA-15-0001 al MSA-14-0008), y tienen asignados los identificadores comprendidos del CVE-2015-0211 al CVE-2015-0218. Cuatro de ellos son considerados como serios y el resto como de gravedad menor. Las vulnerabilidades podrían permitir ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), denegaciones de servicio, forzar la desconexión o revelar información.

Las versiones 2.8.2, 2.7.4 y 2.6.7 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

Más información:

Moodle downloads

MSA-15-0001: Insufficient access check in LTI module

MSA-15-0002: XSS vulnerability in course request pending approval page

MSA-15-0003: CSRF possible in Glossary module

MSA-15-0004: Information leak through messaging functions in web-services

MSA-15-0005: Insufficient access check in calendar functions in web-services

MSA-15-0006: Capability to grade Lesson module is missing XSS bitmask

MSA-15-0007: ReDoS possible in the multimedia filter

MSA-15-0008: Forced logout through Shibboleth authentication plugin


Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada