Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Moodle < 3.1.9 Moodle < 3.2.6 Moodle < 3.3.3 Moodle < 3.4 Betroffene Plattformen: GNU/Linux Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle in Moodle ausnutzen, um Informationen über Kursteilnehmer auszuspähen oder zu erraten. Moodle stellt die Versionen 3.1.9, 3.2.6, 3.3.3 und 3.4 als Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung. Patch: Moodle 3.1.9 Release Notes https://docs.moodle.org/dev/Moodle_3.1.9_release_notes

Patch:

Moodle 3.2.6 Release Notes

https://docs.moodle.org/dev/Moodle_3.2.6_release_notes

Patch:

Moodle 3.3.3 Release Notes

https://docs.moodle.org/dev/Moodle_3.3.3_release_notes

Patch:

Moodle 3.4 Release Notes

https://docs.moodle.org/dev/Moodle_3.4_release_notes

CVE-2017-15110: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Die Suche für Kursteilnehmer berücksichtigt die Einstellungen zur
Sichtbarkeit von Emails nicht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2085/

Moodle Security Advisory MSA-17-0021: Students can find out email addresses
of other students in the same course (CVE-2017-15110):
https://moodle.org/mod/forum/discuss.php?d=361784

Moodle 3.1.9 Release Notes:
https://docs.moodle.org/dev/Moodle_3.1.9_release_notes

Moodle 3.2.6 Release Notes:
https://docs.moodle.org/dev/Moodle_3.2.6_release_notes

Moodle 3.3.3 Release Notes:
https://docs.moodle.org/dev/Moodle_3.3.3_release_notes

Moodle 3.4 Release Notes:
https://docs.moodle.org/dev/Moodle_3.4_release_notes

Schwachstelle CVE-2017-15110 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15110

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.