lunes, 25 de noviembre de 2013

Múltiples vulnerabilidades en Moodle

Moodle, tras un conveniente retraso en la publicación por cuestiones de seguridad, ha publicado cinco nuevos boletines en los que se corrigen sendas vulnerabilidades, desde los habituales XSS hasta salto de restricciones, viéndose afectadas todas las ramas soportadas (2.5, 2.4 y 2.3) y anteriores, ya fuera de mantenimiento de seguridad.

Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos. A grandes rasgos, especificamos la serie de boletines publicados y sus vulnerabilidades:

  • MSA-13-0036, marcada con un impacto 'leve', solucionaría la posible revelación de información sensible, debido a la incorrecta configuración de las directivas de caché utilizadas en los cabeceras para gestionar recursos seguros (CVE-2013-4522), en concreto la falta del header 'Cache-Control: private', posibilitando que sean cacheados en la caché compartida.
        
  • MSA-13-0040, MSA-13-0039 y MSA-13-0037, marcadas con un impacto 'severo' y que corrigen diferentes 'cross-site scripting' en el módulo Quiz (CVE-2013-4525) a través de la página "Quiz Results" y en el módulo Messages (CVE-2013-4523), además de un tercero en la librería YUI2 (CVE-2013-6780) debido a los ficheros SWF distribuidos en el directorio 'lib/yui' que se veían afectados.
         
  • Y finalmente el boletín MSA-13-0036, marcado también con un impacto 'severo' debido a un salto de restricciones a través del repositorio de archivo (File System Repository), que permitiría el acceso a ficheros fuera del mismo.


Los errores han sido corregidos en las ramas afectadas mediante las nuevas versiones disponibles 2.6,  2.5.3, 2.4.7 y 2.3.10  y pueden ser descargadas desde su página oficial:
http://download.moodle.org/

Más información

Moodle security notifications public
http://seclists.org/oss-sec/2013/q4/331

MSA-13-0040: Cross site scripting vulnerability in YUI library
https://moodle.org/mod/forum/discuss.php?d=244483

MSA-13-0039: Cross site scripting in Quiz
https://moodle.org/mod/forum/discuss.php?d=244482

MSA-13-0038: Access to server files through repository
https://moodle.org/mod/forum/discuss.php?d=244481

MSA-13-0037: Cross site scripting in Messages
https://moodle.org/mod/forum/discuss.php?d=244480

MSA-13-0036: Incorrect headers sent for secured resources
https://moodle.org/mod/forum/discuss.php?d=244479



José Mesa Orihuela
jmesa@hispasec.com
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017