DFN-CERT-2016-0480 Moodle: Mehrere Schwachstellen ermöglichen u.a. verschiedene Cross-Site-Scripting-Angriffe [Linux]

DFN-CERT-2016-0480 Moodle: Mehrere Schwachstellen ermöglichen u.a. verschiedene Cross-Site-Scripting-Angriffe [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Moodle <= 2.7.12 Moodle <= 2.8.10 Moodle <= 2.9.4 Moodle <= 3.0.2 Betroffene Plattformen: Moodle GNU/Linux Mehrere Schwachstellen in Moodle ermöglichen einem entfernten, nicht authentifizierten Angreifer verschiedene Cross-Site-Scripting-Angriffe und das Ausspähen von Informationen. Mehrere weitere Schwachstellen ermöglichen einem Lehrer (Teacher, Instructor) als entferntem, einfach authentifizierten Angreifer das Ausspähen von Informationen, die Eskalation von Privilegien und möglicherweise einen Cross-Site-Request-Forgery-Angriff. Mehrere weitere Angriffe erlauben einem Schüler (Student) als entferntem, einfach authentifizierten Angreifer das Ausspähen von Informationen und die Manipulation von Dateien. Moodle stellt die Programmversionen Moodle 2.7.13, 2.8.11, 2.9.5 und 3.0.3 als Sicherheitsupdates bereit, die die Schwachstellen beheben. Moodle 2.7.13 ist von den Schwachstellen CVE-2016-2154 und CVE-2016-2155 nicht betroffen. Patch: Moodle 2.7.13 Release Notes https://docs.moodle.org/dev/Moodle_2.7.13_release_notes

Patch:

Moodle 2.8.11 Release Notes

https://docs.moodle.org/dev/Moodle_2.8.11_release_notes

Patch:

Moodle 2.9.5 Release Notes

https://docs.moodle.org/dev/Moodle_2.9.5_release_notes

Patch:

Moodle 3.0.3 Release Notes

https://docs.moodle.org/dev/Moodle_3.0.3_release_notes

Patch:

Moodle Security Advisory MSA-16-0003

https://moodle.org/mod/forum/discuss.php?d=330173#p1328643

Patch:

Moodle Security Advisory MSA-16-0004

https://moodle.org/mod/forum/discuss.php?d=330174#p1328644

Patch:

Moodle Security Advisory MSA-16-0005

https://moodle.org/mod/forum/discuss.php?d=330175#p1328645

Patch:

Moodle Security Advisory MSA-16-0006

https://moodle.org/mod/forum/discuss.php?d=330176#p1328646

Patch:

Moodle Security Advisory MSA-16-0007

https://moodle.org/mod/forum/discuss.php?d=330177#p1328647

Patch:

Moodle Security Advisory MSA-16-0008

https://moodle.org/mod/forum/discuss.php?d=330178#p1328648

Patch:

Moodle Security Advisory MSA-16-0009

https://moodle.org/mod/forum/discuss.php?d=330179#p1328649

Patch:

Moodle Security Advisory MSA-16-0010

https://moodle.org/mod/forum/discuss.php?d=330180#p1328650

Patch:

Moodle Security Advisory MSA-16-0011

https://moodle.org/mod/forum/discuss.php?d=330181#p1328651

Patch:

Moodle Security Advisory MSA-16-0012

https://moodle.org/mod/forum/discuss.php?d=330182#p1328652

CVE-2016-2190: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Die Ziele externer Links in Moodle, die über das Attribut ‘_blank’ (neues
Fenster, neuer Tab) angesprochen werden, können über einen Referrer
Informationen über die Herkunft des Benutzers ausspähen, da das
HTML5-Attribut ‘rel=noreferrer’ für externe Links nicht gesetzt ist. Ein
entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen.

CVE-2016-2159: Schwachstelle in Moodle ermöglicht Manipulation von Dateien

Die Funktion ‘save_submission’, die beispielsweise aufgerufen wird, wenn
Studenten Lösungen zu Aufgaben einreichen, prüft nicht, ob der späteste
Abgabezeitpunkt (due date) für die Aufgabe bereits überschritten ist. Ein
Student, als entfernter, einfach authentifizierter Angreifer, kann Lösungen
zu Aufgaben nach Ablauf der Bearbeitungszeit einreichen und dadurch bereits
eingereichte Dateien manipulieren.

CVE-2016-2158: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Die Einstellung ‘force_login’ zur Zugriffssteuerung für Kurskategorieseiten
ist wirkungslos. Ein entfernter, nicht authentifizierter Angreifer kann
Informationen zu Kurskategorien ausspähen.

CVE-2016-2157: Schwachstelle in Moodle ermöglicht
Cross-Site-Request-Forgery-Angriff

Auf der Seite zur Verwaltung der Assignment-Plugins von Moodle existiert
keine Prüfung auf Gültigkeit der Administratorsitzung. Ein entfernter,
einfach authentifizierter Angreifer mit Zugriff auf die
Plugin-Verwaltungsseite kann dadurch möglicherweise einen
Cross-Site-Request-Forgery-Angriff (CSRF-Angriff) durchführen.

CVE-2016-2156: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Die Funktion ‘get_calendar_events’ liefert auch Ereignisse zurück, die zu
versteckten Aktivitäten gehören. Ein entfernter, einfach authentifizierter
Angreifer kann über die Kalenderfunktion Informationen zu versteckten
Aktivitäten ausspähen.

CVE-2016-2155: Schwachstelle in Moodle ermöglicht Privilegieneskalation

Durch eine fehlerhafte Berechtigungsprüfung in der Einzelansicht eines
Notenberichts (Single View Grade Report) kann ein Lehrer (Instructor) mit
geringen Berechtigungen eine bestimmte Auswahl (Exclude Grade) treffen, die
höher berechtigten Benutzern vorbehalten ist. Ein entfernter, einfach
authentifizierter Angreifer kann seine Privilegien eskalieren.

CVE-2016-2154: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Die Namen versteckter Kurse (hidden Courses) werden Benutzern angezeigt, die
die Möglichkeit haben, den Ereignismonitor (Event Monitor) zu verwenden. Ein
entfernter, einfach authentifizierter Angreifer kann so Informationen
ausspähen.

CVE-2016-2153: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Bestimmte Suchparameter in der erweiterten Suche von ‘mod_data’ werden nach
Eingabe ungeprüft über HTML wiedergegeben. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch einen Cross-Site-Scripting-Angriff
ausführen.

CVE-2016-2152: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Daten aus externen Quellen werden von Moodle nicht validiert. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter Profildaten in externen Datenbanken, die von Moodle importiert
werden, einen Cross-Site-Scripting-Angriff ausführen.

CVE-2016-2151: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Bei der Darstellung von Benutzer-Emails in der Teilnehmerliste eines Kurses
werden Berechtigungen nicht korrekt validiert. Ein Lehrer (Teacher), als
entfernter, einfach authentifizierter Angreifer, kann Emails von Studenten
(Students) in der Teilnehmerliste sehen und so Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0480/

Moodle 2.7.13 Release Notes:
https://docs.moodle.org/dev/Moodle_2.7.13_release_notes

Moodle 2.8.11 Release Notes:
https://docs.moodle.org/dev/Moodle_2.8.11_release_notes

Moodle 2.9.5 Release Notes:
https://docs.moodle.org/dev/Moodle_2.9.5_release_notes

Moodle 3.0.3 Release Notes:
https://docs.moodle.org/dev/Moodle_3.0.3_release_notes

Moodle Security Advisory MSA-16-0003:
https://moodle.org/mod/forum/discuss.php?d=330173#p1328643

Moodle Security Advisory MSA-16-0004:
https://moodle.org/mod/forum/discuss.php?d=330174#p1328644

Moodle Security Advisory MSA-16-0005:
https://moodle.org/mod/forum/discuss.php?d=330175#p1328645

Moodle Security Advisory MSA-16-0006:
https://moodle.org/mod/forum/discuss.php?d=330176#p1328646

Moodle Security Advisory MSA-16-0007:
https://moodle.org/mod/forum/discuss.php?d=330177#p1328647

Moodle Security Advisory MSA-16-0008:
https://moodle.org/mod/forum/discuss.php?d=330178#p1328648

Moodle Security Advisory MSA-16-0009:
https://moodle.org/mod/forum/discuss.php?d=330179#p1328649

Moodle Security Advisory MSA-16-0010:
https://moodle.org/mod/forum/discuss.php?d=330180#p1328650

Moodle Security Advisory MSA-16-0011:
https://moodle.org/mod/forum/discuss.php?d=330181#p1328651

Moodle Security Advisory MSA-16-0012:
https://moodle.org/mod/forum/discuss.php?d=330182#p1328652

Schwachstelle CVE-2016-2151 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2151

Schwachstelle CVE-2016-2152 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2152

Schwachstelle CVE-2016-2153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2153

Schwachstelle CVE-2016-2154 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2154

Schwachstelle CVE-2016-2155 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2155

Schwachstelle CVE-2016-2156 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2156

Schwachstelle CVE-2016-2157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2157

Schwachstelle CVE-2016-2158 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2158

Schwachstelle CVE-2016-2159 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2159

Schwachstelle CVE-2016-2190 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2190

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben