Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (24.03.2017):
Für Fedora 24 und 25 sowie Fedora EPEL 7 stehen Sicherheitsupdates für
Moodle auf 3.1.5 im Status ‘testing’ bereit, um diese Schwachstellen zu
beheben.
Version 2 (20.03.2017):
Moodle stellt Informationen zu den mit den Sicherheitsupdates behobenen
Schwachstellen bereit. Eine dieser Schwachstellen betrifft alle
Versionszweige und ermöglicht einem entfernten, einfach authentisierten
Angreifer die Ausführung beliebigen SQL-Programmcodes. Zwei weitere
Schwachstellen im Kontext der Nachweise für früheres Lernen (Evidence of
prior Learning, Moodle 3.1 und 3.2) ermöglichen dem Angreifer verschiedene
Cross-Site-Scripting-Angriffe. Eine weitere Schwachstelle in Moodle 3.2
ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen
von in der Anwendung vorhandenen Benutzernamen.
Version 1 (16.03.2017):
Neues Advisory

Betroffene Software:

Moodle < 2.7.19 Moodle < 3.0.9 Moodle < 3.1.5 Moodle < 3.2.2 Betroffene Plattformen: GNU/Linux Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 7 Moodle hat die Programmversionen 2.7.19, 3.0.9, 3.1.5 und 3.2.2 als Sicherheitsupdates zur Verfügung gestellt, durch die eine Reihe von Schwachstellen behoben werden. Details zu diesen Schwachstellen werden etwa eine Woche nach Veröffentlichung der Updates bekannt gegeben, um Systemadministratoren Zeit zu geben, ein Update auf die jeweils neueste Version durchzuführen. Typischerweise sind Cross-Site-Scripting-Angriffe und das Ausspähen von Informationen durch entfernte Angreifer möglich. Für Fedora 26 steht die neue Version Moodle 3.2.2 in Form des Paketes 'moodle-3.2.2-1.fc26' im Status 'testing' zur Verfügung. Patch: Moodle 2.7.19 Release Notes https://docs.moodle.org/dev/Moodle_2.7.19_release_notes

Patch:

Moodle 3.0.9 Release Notes

https://docs.moodle.org/dev/Moodle_3.0.9_release_notes

Patch:

Moodle 3.1.5 Release Notes

https://docs.moodle.org/dev/Moodle_3.1.5_release_notes

Patch:

Moodle 3.2.2 Release Notes

https://docs.moodle.org/dev/Moodle_3.2.2_release_notes

Patch:

Fedora Security Update FEDORA-2017-0196511d58 (Fedora 25,
moodle-3.1.5-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-0196511d58

Patch:

Fedora Security Update FEDORA-2017-0fcaf52f1a (Fedora 24,
moodle-3.1.5-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-0fcaf52f1a

Patch:

Fedora Security Update FEDORA-2017-d5dbc23747 (Fedora 26,
moodle-3.2.2-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5dbc23747

Patch:

Fedora Security Update FEDORA-EPEL-2017-5794ee2486 (Fedora EPEL 7,
moodle-3.1.5-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-5794ee2486

CVE-2017-2645: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Für Dateien, die an Nachweise für früheres Lernen (Evidence of prior
Learning) angehängt werden, wird der Download nicht erzwungen. Stattdessen
werden diese in der aktuellen Moodle-Sitzung geöffnet, sobald sie von
anderen Benutzern angesehen werden. Ein Benutzer von Moodle kann das als
entfernter, einfach authentisierter Angreifer für einen Cross-Site-Scripting
(XSS)-Angriff ausnutzen.

CVE-2017-2644: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Ein Benutzer von Moodle kann als entfernter, einfach authentisierter
Angreifer Nachweise für früheres Lernen (Evidence of prior Learning) mit
Cross-Site-Scripting (XSS)-Elementen versehen, die dann auf einen Benutzer,
der versucht, denselben Nachweis zu bearbeiten, angewendet werden.

CVE-2017-2643: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Über die globale Suche können Gastnutzer von Moodle als entfernte, nicht
authentisierte Angreifer Benutzernamen der Anwendung ausspähen. Die globale
Suche wendet die Konfiguration ‘Force Login for Profiles’ nicht auf
Benutzernamen an, Profilinhalte sind aber weiterhin nicht offen einsehbar.

CVE-2017-2641: Schwachstelle in Moodle ermöglicht SQL-Injektion

Durch eine Schwachstelle in der Weboberfläche von Moodle 3.2 kann ein
Benutzer der Software als entfernter, einfach authentisierter Angreifer
beliebigen SQL-Programmcode in die Anwendung einbringen und dadurch
beispielsweise Angriffe gegen die Vertraulichkeit und Integrität der
Moodle-Datenbank ausführen und damit auch die Verfügbarkeit des Systems
beeinträchtigen. In früheren Versionen von Moodle besteht die Schwachstelle
ebenfalls, kann aber nur von Nutzern mit erweiterten Privilegien ausgenutzt
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0467/

Moodle 2.7.19 Release Notes:
https://docs.moodle.org/dev/Moodle_2.7.19_release_notes

Moodle 3.0.9 Release Notes:
https://docs.moodle.org/dev/Moodle_3.0.9_release_notes

Moodle 3.1.5 Release Notes:
https://docs.moodle.org/dev/Moodle_3.1.5_release_notes

Moodle 3.2.2 Release Notes:
https://docs.moodle.org/dev/Moodle_3.2.2_release_notes

Fedora Bugfix Update FEDORA-2017-d5dbc23747 (Fedora 26, moodle-3.2.2-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5dbc23747

Moodle Security Announcement MSA-17-0005: SQL injection via user preferences:
https://moodle.org/mod/forum/discuss.php?d=349419

Moodle Security Announcement MSA-17-0007: Global search displays user names
for unauthenticated users:
https://moodle.org/mod/forum/discuss.php?d=349420

Moodle Security Announcement MSA-17-0008: XSS in evidence of prior learning:
https://moodle.org/mod/forum/discuss.php?d=349421

Moodle Security Announcement MSA-17-0009: XSS in attachments to evidence of
prior learning:
https://moodle.org/mod/forum/discuss.php?d=349422

Schwachstelle CVE-2017-2641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2641

Schwachstelle CVE-2017-2643 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2643

Schwachstelle CVE-2017-2644 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2644

Schwachstelle CVE-2017-2645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2645

Fedora Security Update FEDORA-2017-0196511d58 (Fedora 25, moodle-3.1.5-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0196511d58

Fedora Security Update FEDORA-2017-0fcaf52f1a (Fedora 24, moodle-3.1.5-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0fcaf52f1a

Fedora Security Update FEDORA-2017-d5dbc23747 (Fedora 26, moodle-3.2.2-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5dbc23747

Fedora Security Update FEDORA-EPEL-2017-5794ee2486 (Fedora EPEL 7,
moodle-3.1.5-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-5794ee2486

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (20.03.2017):
Moodle stellt Informationen zu den mit den Sicherheitsupdates behobenen
Schwachstellen bereit. Eine dieser Schwachstellen betrifft alle
Versionszweige und ermöglicht einem entfernten, einfach authentisierten
Angreifer die Ausführung beliebigen SQL-Programmcodes. Zwei weitere
Schwachstellen im Kontext der Nachweise für früheres Lernen (Evidence of
prior Learning, Moodle 3.1 und 3.2) ermöglichen dem Angreifer verschiedene
Cross-Site-Scripting-Angriffe. Eine weitere Schwachstelle in Moodle 3.2
ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen
von in der Anwendung vorhandenen Benutzernamen.
Version 1 (16.03.2017):
Neues Advisory

Betroffene Software:

Moodle < 2.7.19 Moodle < 3.0.9 Moodle < 3.1.5 Moodle < 3.2.2 Betroffene Plattformen: GNU/Linux Red Hat Fedora 26 Moodle hat die Programmversionen 2.7.19, 3.0.9, 3.1.5 und 3.2.2 als Sicherheitsupdates zur Verfügung gestellt, durch die eine Reihe von Schwachstellen behoben werden. Details zu diesen Schwachstellen werden etwa eine Woche nach Veröffentlichung der Updates bekannt gegeben, um Systemadministratoren Zeit zu geben, ein Update auf die jeweils neueste Version durchzuführen. Typischerweise sind Cross-Site-Scripting-Angriffe und das Ausspähen von Informationen durch entfernte Angreifer möglich. Für Fedora 26 steht die neue Version Moodle 3.2.2 bereits in Form des Paketes 'moodle-3.2.2-1.fc26' im Status 'testing' zur Verfügung. Patch: Moodle 2.7.19 Release Notes https://docs.moodle.org/dev/Moodle_2.7.19_release_notes

Patch:

Moodle 3.0.9 Release Notes

https://docs.moodle.org/dev/Moodle_3.0.9_release_notes

Patch:

Moodle 3.1.5 Release Notes

https://docs.moodle.org/dev/Moodle_3.1.5_release_notes

Patch:

Moodle 3.2.2 Release Notes

https://docs.moodle.org/dev/Moodle_3.2.2_release_notes

CVE-2017-2645: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Für Dateien, die an Nachweise für früheres Lernen (Evidence of prior
Learning) angehängt werden, wird der Download nicht erzwungen. Stattdessen
werden diese in der aktuellen Moodle-Sitzung geöffnet, sobald sie von
anderen Benutzern angesehen werden. Ein Benutzer von Moodle kann das als
entfernter, einfach authentisierter Angreifer für einen Cross-Site-Scripting
(XSS)-Angriff ausnutzen.

CVE-2017-2644: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Ein Benutzer von Moodle kann als entfernter, einfach authentisierter
Angreifer Nachweise für früheres Lernen (Evidence of prior Learning) mit
Cross-Site-Scripting (XSS)-Elementen versehen, die dann auf einen Benutzer,
der versucht, denselben Nachweis zu bearbeiten, angewendet werden.

CVE-2017-2643: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Über die globale Suche können Gastnutzer von Moodle als entfernte, nicht
authentisierte Angreifer Benutzernamen der Anwendung ausspähen. Die globale
Suche wendet die Konfiguration ‘Force Login for Profiles’ nicht auf
Benutzernamen an, Profilinhalte sind aber weiterhin nicht offen einsehbar.

CVE-2017-2641: Schwachstelle in Moodle ermöglicht SQL-Injektion

Durch eine Schwachstelle in der Weboberfläche von Moodle 3.2 kann ein
Benutzer der Software als entfernter, einfach authentisierter Angreifer
beliebigen SQL-Programmcode in die Anwendung einbringen und dadurch
beispielsweise Angriffe gegen die Vertraulichkeit und Integrität der
Moodle-Datenbank ausführen und damit auch die Verfügbarkeit des Systems
beeinträchtigen. In früheren Versionen von Moodle besteht die Schwachstelle
ebenfalls, kann aber nur von Nutzern mit erweiterten Privilegien ausgenutzt
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0467/

Moodle 2.7.19 Release Notes:
https://docs.moodle.org/dev/Moodle_2.7.19_release_notes

Moodle 3.0.9 Release Notes:
https://docs.moodle.org/dev/Moodle_3.0.9_release_notes

Moodle 3.1.5 Release Notes:
https://docs.moodle.org/dev/Moodle_3.1.5_release_notes

Moodle 3.2.2 Release Notes:
https://docs.moodle.org/dev/Moodle_3.2.2_release_notes

Fedora Bugfix Update FEDORA-2017-d5dbc23747 (Fedora 26, moodle-3.2.2-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d5dbc23747

Moodle Security Announcement MSA-17-0005: SQL injection via user preferences:
https://moodle.org/mod/forum/discuss.php?d=349419

Moodle Security Announcement MSA-17-0007: Global search displays user names
for unauthenticated users:
https://moodle.org/mod/forum/discuss.php?d=349420

Moodle Security Announcement MSA-17-0008: XSS in evidence of prior learning:
https://moodle.org/mod/forum/discuss.php?d=349421

Moodle Security Announcement MSA-17-0009: XSS in attachments to evidence of
prior learning:
https://moodle.org/mod/forum/discuss.php?d=349422

Schwachstelle CVE-2017-2641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2641

Schwachstelle CVE-2017-2643 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2643

Schwachstelle CVE-2017-2644 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2644

Schwachstelle CVE-2017-2645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2645

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.