viernes, 25 de noviembre de 2016

Múltiples vulnerabilidades en Moodle

Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrían permitir el acceso no autorizado a archivos o a información sensible.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado cuatro boletines de seguridad (del MSA-16-0023 al MSA-14-0026), y tienen asignados los identificadores CVE-2016-8642 al CVE-2016-8644. Tres de ellos considerados como de gravedad menor y uno de riego serio.

El más grave de los problemas afecta cuando la depuración está activa, los errores de excepción de los servicios web podrán contener datos privados. Otros fallos residen en un error en la función de chequeo que puede permitir a los usuarios ver las notas del curso a las que no tiene acceso a visualizar. En la interfaz web de Moodle los usuarios no administradores con capacidad de editar a otros usuarios no pueden editar la información de los administradores, sin embargo esto no se respeta en uno de los servicios web. Por último, un usuario puede acceder a la URL de un archivo incluido en una pregunta para la que no tiene acceso y descargarlo usando el identificador de una pregunta para la que sí tenga acceso.

Se ven afectadas las versiones 3.1 a 3.1.2, 3.0 a 3.0.6, 2.9 a 2.9.8, 2.8 a 2.8.12, 2.7 a 2.7.16, y versiones anteriores ya fuera de soporte.

Las versiones 3.1.3, 3.0.7, 2.9.9 y 2.7.17 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.
http://download.moodle.org/

Más información:

Security Announcements
https://moodle.org/security/

MSA-16-0026: When debugging is enabled, error exceptions returned from webservices could contain private data.
https://moodle.org/mod/forum/discuss.php?d=343278

MSA-16-0025: Capability to view course notes is checked in the wrong context
https://moodle.org/mod/forum/discuss.php?d=343277

MSA-16-0024: Non-admin site managers may accidentally edit admins via web services
https://moodle.org/mod/forum/discuss.php?d=343276

MSA-16-0023: Question engine allows access to files that should not be available
https://moodle.org/mod/forum/discuss.php?d=343275




Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas: ,
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017