DFN-CERT-2017-0141 Moodle: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Scripting-Angriff [Linux][Fedora]

DFN-CERT-2017-0141 Moodle: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Scripting-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Moodle <= 3.1.3 Betroffene Plattformen: Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, einfach authentifizierter Angreifer kann mehrere Schwachstellen in Moodle ausnutzen, um Informationen auszuspähen oder Daten zu manipulieren. Außerdem kann ein entfernter, nicht authentisierter Angreifer einen Cross-Site-Scripting (XSS)-Angriff durchführen. Für Fedora 24, 25 und EPEL 7 stehen Sicherheitsupdates in Form des Pakets moodle-3.1.4-1 bereit. Die Sicherheitsupdates für Fedora 24 und EPEL 7 befinden sich im Status 'testing', während jenes für Fedora 25 noch im Status 'pending' ist. Patch: Fedora Security Update FEDORA-2017-6681f94e10 (Fedora 24, moodle-3.1.4-1.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2017-6681f94e10

Patch:

Fedora Security Update FEDORA-2017-ae7a707032 (Fedora 25,
moodle-3.1.4-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ae7a707032

Patch:

Fedora Security Update FEDORA-EPEL-2017-b498a4859e (Fedora EPEL 7,
moodle-3.1.4-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-b498a4859e

CVE-2017-2578: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Durch Modifikation einer URL, die im Zusammenhang mit dem Prozess der
Bearbeitung von Aufgaben verwendet wird, kann ein entfernter, nicht
authentifizierter Angreifer einen Cross-Site-Scripting-Angriff auf einen
Benutzer ausführen, wenn er diesen Benutzer zum Besuch der URL verleiten
kann.

CVE-2017-2576: Schwachstelle in Moodle ermöglicht Manipulation von Daten

Durch die fehlerhafte Überprüfung von Attributen kann der Autor einer
Forumsnachricht als entfernter, einfach authentifizierter Angreifer bei der
Änderung seiner Nachricht den Inhalt zu vieler Eingabefelder manipulieren.

CVE-2016-8644: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Durch eine fehlerhafte Zugangsprüfung wird in Moodle eine für die gesamte
Seite festgelegte Zugangsbeschränkung nicht wie erwartet von für einen
einzelnen Kurs festgelegten Zugangsbeschränkungen überschrieben. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch Informationen zu
Kursen erhalten, auf die er eigentlich keinen Zugriff hat.

CVE-2016-8643: Schwachstelle in Moodle ermöglicht Manipulation von
Benutzerkonten

In einem der Webdienste von Moodle wird nicht berücksichtigt, dass Benutzer
ohne Administratorprivilegien Konten von Administratoren nicht ändern
dürfen. Ein entfernter, einfach authentifizierter Angreifer kann die
Benutzerkonten von Administratoren manipulieren und dadurch möglicherweise
seine Privilegien eskalieren.

CVE-2016-8642: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Die URL von in Fragen eingebetteten Dateien, auf die Benutzer keinen Zugriff
haben, lässt sich über den Identifikator einer Frage, auf welche die
Benutzer Zugriff haben, erraten. Ein entfernter, einfach authentifizierter
Angreifer kann Zugriff auf solche Dateien erhalten und dadurch Informationen
ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0141/

Schwachstelle CVE-2016-8642 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8642

Schwachstelle CVE-2016-8643 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8643

Schwachstelle CVE-2016-8644 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8644

Schwachstelle CVE-2017-2576 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2576

Schwachstelle CVE-2017-2578 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2578

Fedora Security Update FEDORA-2017-6681f94e10 (Fedora 24, moodle-3.1.4-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-6681f94e10

Fedora Security Update FEDORA-2017-ae7a707032 (Fedora 25, moodle-3.1.4-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ae7a707032

Fedora Security Update FEDORA-EPEL-2017-b498a4859e (Fedora EPEL 7,
moodle-3.1.4-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-b498a4859e

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben