Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-0467 Moodle: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora]

20.03.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (20.03.2017):
Moodle stellt Informationen zu den mit den Sicherheitsupdates behobenen
Schwachstellen bereit. Eine dieser Schwachstellen betrifft alle
Versionszweige und ermöglicht einem entfernten, einfach authentisierten
Angreifer die Ausführung beliebigen SQL-Programmcodes. Zwei weitere
Schwachstellen im Kontext der Nachweise für früheres Lernen (Evidence of
prior Learning, Moodle 3.1 und 3.2) ermöglichen dem Angreifer verschiedene
Cross-Site-Scripting-Angriffe. Eine weitere Schwachstelle in Moodle 3.2
ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen
von in der Anwendung vorhandenen Benutzernamen.
Version 1 (16.03.2017):
Neues Advisory

Betroffene Software:

Moodle < 2.7.19
Moodle < 3.0.9
Moodle < 3.1.5
Moodle < 3.2.2


Betroffene Plattformen:

GNU/Linux
Red Hat Fedora 26



Moodle hat die Programmversionen 2.7.19, 3.0.9, 3.1.5 und 3.2.2 als
Sicherheitsupdates zur Verfügung gestellt, durch die eine Reihe von
Schwachstellen behoben werden. Details zu diesen Schwachstellen werden etwa
eine Woche nach Veröffentlichung der Updates bekannt gegeben, um
Systemadministratoren Zeit zu geben, ein Update auf die jeweils neueste
Version durchzuführen. Typischerweise sind Cross-Site-Scripting-Angriffe und
das Ausspähen von Informationen durch entfernte Angreifer möglich.

Für Fedora 26 steht die neue Version Moodle 3.2.2 bereits in Form des
Paketes 'moodle-3.2.2-1.fc26' im Status 'testing' zur Verfügung.



Patch:

Moodle 2.7.19 Release Notes

<https://docs.moodle.org/dev/Moodle_2.7.19_release_notes>

Patch:

Moodle 3.0.9 Release Notes

<https://docs.moodle.org/dev/Moodle_3.0.9_release_notes>

Patch:

Moodle 3.1.5 Release Notes

<https://docs.moodle.org/dev/Moodle_3.1.5_release_notes>

Patch:

Moodle 3.2.2 Release Notes

<https://docs.moodle.org/dev/Moodle_3.2.2_release_notes>


CVE-2017-2645: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Für Dateien, die an Nachweise für früheres Lernen (Evidence of prior
Learning) angehängt werden, wird der Download nicht erzwungen. Stattdessen
werden diese in der aktuellen Moodle-Sitzung geöffnet, sobald sie von
anderen Benutzern angesehen werden. Ein Benutzer von Moodle kann das als
entfernter, einfach authentisierter Angreifer für einen Cross-Site-Scripting
(XSS)-Angriff ausnutzen.


CVE-2017-2644: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Ein Benutzer von Moodle kann als entfernter, einfach authentisierter
Angreifer Nachweise für früheres Lernen (Evidence of prior Learning) mit
Cross-Site-Scripting (XSS)-Elementen versehen, die dann auf einen Benutzer,
der versucht, denselben Nachweis zu bearbeiten, angewendet werden.


CVE-2017-2643: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Über die globale Suche können Gastnutzer von Moodle als entfernte, nicht
authentisierte Angreifer Benutzernamen der Anwendung ausspähen. Die globale
Suche wendet die Konfiguration 'Force Login for Profiles' nicht auf
Benutzernamen an, Profilinhalte sind aber weiterhin nicht offen einsehbar.


CVE-2017-2641: Schwachstelle in Moodle ermöglicht SQL-Injektion

Durch eine Schwachstelle in der Weboberfläche von Moodle 3.2 kann ein
Benutzer der Software als entfernter, einfach authentisierter Angreifer
beliebigen SQL-Programmcode in die Anwendung einbringen und dadurch
beispielsweise Angriffe gegen die Vertraulichkeit und Integrität der
Moodle-Datenbank ausführen und damit auch die Verfügbarkeit des Systems
beeinträchtigen. In früheren Versionen von Moodle besteht die Schwachstelle
ebenfalls, kann aber nur von Nutzern mit erweiterten Privilegien ausgenutzt
werden.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0467/>

Moodle 2.7.19 Release Notes:
<https://docs.moodle.org/dev/Moodle_2.7.19_release_notes>

Moodle 3.0.9 Release Notes:
<https://docs.moodle.org/dev/Moodle_3.0.9_release_notes>

Moodle 3.1.5 Release Notes:
<https://docs.moodle.org/dev/Moodle_3.1.5_release_notes>

Moodle 3.2.2 Release Notes:
<https://docs.moodle.org/dev/Moodle_3.2.2_release_notes>

Fedora Bugfix Update FEDORA-2017-d5dbc23747 (Fedora 26, moodle-3.2.2-1.fc26):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5dbc23747>

Moodle Security Announcement MSA-17-0005: SQL injection via user preferences:
<https://moodle.org/mod/forum/discuss.php?d=349419>

Moodle Security Announcement MSA-17-0007: Global search displays user names
for unauthenticated users:
<https://moodle.org/mod/forum/discuss.php?d=349420>

Moodle Security Announcement MSA-17-0008: XSS in evidence of prior learning:
<https://moodle.org/mod/forum/discuss.php?d=349421>

Moodle Security Announcement MSA-17-0009: XSS in attachments to evidence of
prior learning:
<https://moodle.org/mod/forum/discuss.php?d=349422>

Schwachstelle CVE-2017-2641 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2641>

Schwachstelle CVE-2017-2643 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2643>

Schwachstelle CVE-2017-2644 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2644>

Schwachstelle CVE-2017-2645 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2645>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 06/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.