Moodle, tras un conveniente retraso en la publicación por cuestiones de seguridad, ha publicado cinco nuevos boletines en los que se corrigen sendas vulnerabilidades, desde los habituales XSS hasta salto de restricciones, viéndose afectadas todas las ramas soportadas (2.5, 2.4 y 2.3) y anteriores, ya fuera de mantenimiento de seguridad.
Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos. A grandes rasgos, especificamos la serie de boletines publicados y sus vulnerabilidades:
- MSA-13-0036, marcada con un impacto ‘leve‘, solucionaría la posible revelación de información sensible, debido a la incorrecta configuración de las directivas de caché utilizadas en los cabeceras para gestionar recursos seguros (CVE-2013-4522), en concreto la falta del header ‘Cache-Control: private‘, posibilitando que sean cacheados en la caché compartida.
- MSA-13-0040, MSA-13-0039 y MSA-13-0037, marcadas con un impacto ‘severo‘ y que corrigen diferentes ‘cross-site scripting‘ en el módulo Quiz (CVE-2013-4525) a través de la página «Quiz Results» y en el módulo Messages (CVE-2013-4523), además de un tercero en la librería YUI2 (CVE-2013-6780) debido a los ficheros SWF distribuidos en el directorio ‘lib/yui‘ que se veían afectados.
- Y finalmente el boletín MSA-13-0036, marcado también con un impacto ‘severo‘ debido a un salto de restricciones a través del repositorio de archivo (File System Repository), que permitiría el acceso a ficheros fuera del mismo.
Los errores han sido corregidos en las ramas afectadas mediante las nuevas versiones disponibles 2.6, 2.5.3, 2.4.7 y 2.3.10 y pueden ser descargadas desde su página oficial:
Más información
Moodle security notifications public
MSA-13-0040: Cross site scripting vulnerability in YUI library
MSA-13-0039: Cross site scripting in Quiz
MSA-13-0038: Access to server files through repository
MSA-13-0037: Cross site scripting in Messages
MSA-13-0036: Incorrect headers sent for secured resources
José Mesa Orihuela
