La solución Moodle, ha publicado 5 nuevos boletines, tras un conveniente retraso en la publicación por cuestiones de seguridad, en esta ocasión se corrigen sendas vulnerabilidades, desde los habituales XSS hasta salto de restricciones, viéndose afectadas todas las …

  … ramas soportadas (2.5,2.4 y 2.3) y anteriores, ya fuera de mantenimiento de seguridad. 

 
Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos. A grandes rasgos, especificamos la serie de boletines publicados y sus vulnerabilidades: 
 
* MSA-13-0036, marcada con un impacto ‘leve’, solucionaría la posible revelación de información sensible, debido a la incorrecta configuración de las directivas de caché utilizadas en los cabeceras para gestionar recursos seguros (CVE-2013-4522), en concreto la falta del header ‘Cache-Control: private’, posibilitando que sean cacheados en la caché compartida. 
 
* MSA-13-0040, MSA-13-0039 y MSA-13-0037, marcadas con un impacto ‘severo’ y que corrigen diferentes ‘cross-site scripting’ en el módulo Quiz (CVE-2013-4525) a través de la página "Quiz Results" y en el módulo Messages (CVE-2013-4523), además de un tercero en la librería YUI2 (CVE-2013-6780) debido a los ficheros SWF distribuidos en el directorio ‘lib/yui’ que se veían afectados. 
 
* Y finalmente el boletín MSA-13-0036, marcado también con un impacto ‘severo’ debido a un salto de restricciones a través del repositorio de archivo (File System Repository), que permitiría el acceso a ficheros fuera del mismo. 
 
Los errores han sido corregidos en las ramas afectadas mediante las nuevas versiones disponibles 2.6, 2.5.3, 2.4.7 y 2.3.10 y pueden ser descargadas desde su página oficial: 
http://download.moodle.org/ 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/11/multiples-vulnerabilidades-en-moodle.html#comments
 
Más información
 
Moodle security notifications public
http://seclists.org/oss-sec/2013/q4/331
 
MSA-13-0040: Cross site scripting vulnerability in YUI library
https://moodle.org/mod/forum/discuss.php?d=244483
 
MSA-13-0039: Cross site scripting in Quiz
https://moodle.org/mod/forum/discuss.php?d=244482
 
MSA-13-0038: Access to server files through repository
https://moodle.org/mod/forum/discuss.php?d=244481
 
MSA-13-0037: Cross site scripting in Messages
https://moodle.org/mod/forum/discuss.php?d=244480
 
MSA-13-0036: Incorrect headers sent for secured resources
https://moodle.org/mod/forum/discuss.php?d=244479

 

Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar