DFN-CERT-2018-0142 Moodle: Mehrere Schwachstellen ermöglichen u.a. einen Server-Side-Request-Forgery-Angriff [Linux]

DFN-CERT-2018-0142 Moodle: Mehrere Schwachstellen ermöglichen u.a. einen Server-Side-Request-Forgery-Angriff [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Moodle < 3.1.10 Moodle < 3.2.7 Moodle < 3.3.4 Moodle < 3.4.1 Betroffene Plattformen: GNU/Linux Mehrere Schwachstellen in Moodle ermöglichen einem entfernten, einfach authentifizierten Angreifer die Durchführung eines Server-Side-Request-Forgery-Angriffs (XSRF) und in der Folge das Ausspähen von Informationen, das Ausspähen von Quiz-Resultaten über die Mobile App und die Durchführung eines Cross-Site-Scripting-Angriffs. Für letzteren sind besondere Privilegien (Tutor, Lehrer) notwendig. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen der Sicherheitseinstellung 'cURL blocked Hosts List'. Der Hersteller stellt die Versionen Moodle 3.1.10 (LTS), 3.2.7, 3.3.4 und 3.4.1 als Sicherheitsupdates zur Verfügung. Der Versionszweig 3.1 ist dabei nicht von CVE-2018-1043 betroffen, der Versionszweig 3.4 nicht von CVE-2018-1045. Patch: Moodle 3.1.10 Release Notes https://docs.moodle.org/dev/Moodle_3.1.10_release_notes

Patch:

Moodle 3.2.7 Release Notes

https://docs.moodle.org/dev/Moodle_3.2.7_release_notes

Patch:

Moodle 3.3.4 Release Notes

https://docs.moodle.org/dev/Moodle_3.3.4_release_notes

Patch:

Moodle 3.4.1 Release Notes

https://docs.moodle.org/dev/Moodle_3.4.1_release_notes

CVE-2018-1045: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff

Über Ereignisnamen im Kalenderblock kann ein entfernter, einfach
authentifizierter Angreifer mit der dazu notwendigen Berechtigung (Tutor,
Lehrer) einen Cross-Site-Scripting-Angriff (XSS) durchführen.

CVE-2018-1044: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

Die Komponente ‘Quiz Services’ in der Mobile App für Moodle ermöglicht einem
entfernten, einfach authentisierten Angreifer das Einsehen von
Quiz-Resultaten, auch wenn dies nicht erlaubt ist.

CVE-2018-1043: Schwachstelle in Moodle ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die mit Moodle 3.2 eingeführte Sicherheitseinstellung ‘cURL blocked hosts
list’ soll den Zugriff auf bestimmte interne Adressen verhindern. Ein
entfernter, nicht authentisierter Angreifer kann das beabsichtigte Verhalten
durch die Verwendung von DNS-Records mit verschiedenen A-Records für einen
Hostnamen außer Kraft setzen.

CVE-2018-1042: Schwachstelle in Moodle ermöglicht
Server-Side-Request-Forgery-Angriff

In der Komponente ‘Filepicker’ in Moodle existiert eine Schwachstelle
aufgrund ungenügender Prüfung von Eingaben. Durch die Manipulation der
‘source URL’ können mittels eines Server-Side-Request-Forgery
(XSRF)-Angriffs beliebige URLs eines Servers ausgespäht werden. Ein
entfernter, einfach authentifizierter Angreifer kann einen
Server-Side-Request-Forgery (XSRF)-Angriff durchführen und beliebige URLs
ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0142/

Moodle 3.1.10 Release Notes:
https://docs.moodle.org/dev/Moodle_3.1.10_release_notes

Moodle 3.2.7 Release Notes:
https://docs.moodle.org/dev/Moodle_3.2.7_release_notes

Moodle 3.3.4 Release Notes:
https://docs.moodle.org/dev/Moodle_3.3.4_release_notes

Moodle 3.4.1 Release Notes:
https://docs.moodle.org/dev/Moodle_3.4.1_release_notes

Moodle Security Advisory MSA-18-0001: Server Side Request Forgery in the
filepicker:
https://moodle.org/mod/forum/discuss.php?d=364381&parent=1469490

Moodle Security Advisory MSA-18-0002: Setting for blocked hosts list can be
bypassed with multiple A record hostnames:
https://moodle.org/mod/forum/discuss.php?d=364382&parent=1469491

Moodle Security Advisory MSA-18-0003: Privilege escalation in quiz web
services:
https://moodle.org/mod/forum/discuss.php?d=364383&parent=1469492

Moodle Security Advisory MSA-18-0004: XSS in calendar event name:
https://moodle.org/mod/forum/discuss.php?d=364384&parent=1469494

Schwachstelle CVE-2018-1042 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-1042

Schwachstelle CVE-2018-1043 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-1043

Schwachstelle CVE-2018-1044 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-1044

Schwachstelle CVE-2018-1045 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-1045

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben