Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidades corregidas en Moodle |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado | Versiones desde 2.0 hasta 2.3, especialmente las versiones 2.2 y 2.1 |
Descripción |
|
|
Moodle es una aplicación web del tipo LMS (Learning Management System), escrita en PHP que se utiliza para la gestión de cursos en línea. Se han dado a conocer 12 vulnerabilidades en total, siendo calificadas 10 de estas de importancia menor y dos de importancia alta. La mayoria de vulnerabilidades solucionadas estaban provocadas por una incorrecta validación de datos. Las vulnerabilidades más importantes podrían permitir inyección SQL y ataques XSS mientras que algunas menores pueden causar una denegación de servicio sólo realizando una búsqueda en el sitio. El listado completo de vulnerabilidades es: MSA-12-0039 (CVE-2012-3387): En la función 'file_save_draft_area_files' de 'lib/filelib.php' no se validan correctamente los límites de fichero cuando está activado el uso de referencias, lo que permitía la subida de ficheros sin limitar su tamaño cuando las referencias se permiten. MSA-12-0040 (CVE-2012-3388): Un fallo en la función 'is_enrolled' de 'lib/accesslib.php' provoca que no se comprueben las capacidades de los usuarios cacheados, posibilitando así el salto de restricciones de seguridad. MSA-12-0041 (CVE-2012-3389): Existe un error de falta de limpieza de los valores 'lti_typename' y 'lti_toolurl' de las peticiones de tipo POST en el módulo LTI que podría ser utilizado para llevar a cabo ataques 'cross-site scripting' (XSS) a través de peticiones POST. MSA-12-0042 (CVE-2012-3390): Existe un fallo de comprobación de permisos en la función 'file_pluginfile' que podría permitir que los datos incrustados en un bloque estuvieran accesibles aun habiendo ocultado dicho bloque, lo que podría revelar información sensible. MSA-12-0043 (CVE-2012-3391): Debido a una falta de comprobación del usuario que hace peticiones por RSS en 'forum/rsslib.php', un usuario podría ver el contenido de los foros Q&A sin haber creado ningún tema en el foro, lo cual es requisito para ello. Esto puede revelar información sensible a usuarios sin permisos para acceder a ella. MSA-12-0044 (CVE-2012-3392): No se revisan correctamente las capacidades de un usuario a la hora de eliminar su suscripción de un foro, lo que podría permitir que llevaran a cabo esta acción sin tener permisos para ello realizando un salto de restricciones. MSA-12-0045 (CVE-2012-3393): En 'repository/lib.php', responsable de la administración de los repositorios, los formularios para renombrar estos no estaban siendo filtrados, lo que podría provocar la inyección de código HTML o JavaScript a través de un nombre de repositorio especialmente diseñado. MSA-12-0046 (CVE-2012-3394): Cuando se produce un redirección de un usuario tras la autenticación por LDAP a través de HTTPS, la función 'redirect' realiza esta redirección a través de HTTP. MSA-12-0047 (CVE-2012-3395): El parámetro 'data_submitted' de el modulo de retroalimentación (feedback) no estaba siendo correctamente filtrado, lo que podía permitir ataques de inyección SQL. MSA-12-0048 (CVE-2012-3396): En la zona de administración de cohortes o grupos globales, el parámetro 'name' no estaba siendo correctamente filtrado, lo que podía permitir ataques 'cross-site scripting' (XSS). Este error se introdujo con el parche para solucionar el boletín MDL-31691 . MSA-12-0049 (CVE-2012-3397): A la hora de mostrar las actividades, la política de restricción de accesos 'show availability' sustituye erróneamente a las políticas de grupo, permitiendo que usuarios no autorizados vieran la actividad de otros usuarios que no debería serle revelada. MSA-12-0050 (CVE-2012-3398): A través de la funcionalidad 'búsqueda avanzada' podrían hacerse peticiones ineficientes a la base de datos cuando esta tiene un gran número de registros y causar un ataque de denegación de servicio, provocada por largos periodos con gran carga de CPU. |
|
Solución |
|
| El fabricante publica que estas vulnerabilidades ya se encuentran corregidas en la última versión del código disponible en los repositorios públicos para cada una de las versiones de Moodle. | |
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2012-3387 CVE-2012-3388 CVE-2012-3389 CVE-2012-3390 CVE-2012-3391 CVE-2012-3392 CVE-2012-3393 CVE-2012-3394 CVE-2012-3395 CVE-2012-3396 CVE-2012-3397 CVE-2012-3398 |
| BID | |
Recursos adicionales |
|
|
MSA-12-0039: Validación subida de archivos http://moodle.org/mod/forum/discuss.php?d=207145 MSA-12-0040: Capacidad de almacenamiento en caché http://moodle.org/mod/forum/discuss.php?d=207146 MSA-12-0041: Problema de XSS en el módulo de LTI http://moodle.org/mod/forum/discuss.php?d=207147 MSA-12-0042: Problema de acceso a archivos http://moodle.org/mod/forum/discuss.php?d=207148 MSA-12-0043: Problema de validación al acceso al foro http://moodle.org/mod/forum/discuss.php?d=207149 MSA-12-0044: Problema de verificación de suscripción en el foro http://moodle.org/mod/forum/discuss.php?d=207150 MSA-12-0045: Problema en la administración de repositorios http://moodle.org/mod/forum/discuss.php?d=207151 MSA-12-0046: Redirección de protocolo inseguro en la autenticación LDAP http://moodle.org/mod/forum/discuss.php?d=207152 MSA-12-0047: Posible SQL indeseado en el modulo Feedback http://moodle.org/mod/forum/discuss.php?d=207153 MSA-12-0048: Posible XSS en la administración http://moodle.org/mod/forum/discuss.php?d=207154 MSA-12-0049: A partir del grupo restringido puede mostrar todos los usuarios http://moodle.org/mod/forum/discuss.php?d=207155 MSA-12-0050: Posible ataque DoS gracias a la actividad de la base de datos http://moodle.org/mod/forum/discuss.php?d=207156 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-07-31 |