Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (27.05.21):
Das Sicherheitsupdate für Fedora 34 befindet sich mittlerweile im Status
‘stable’. Im Sicherheitshinweis wird jetzt auch die Schwachstelle
CVE-2021-3558 aufgeführt, die ein Angreifer mit niedrigen Privilegien aus
der Ferne ausnutzen kann, um einen Cross-Site-Scripting (XSS)-Angriff
durchzuführen. Die Schwachstelle wird in den Release Notes von Moodle 3.11
nicht erwähnt und betrifft auch die gleichzeitig veröffentlichte Version
3.10.4. Der Hersteller macht bisher keine Angaben zur Schwachstelle.
Version 2 (20.05.21):
Für Fedora 32, 33 und 34 stehen die Pakete ‘moodle-3.8.9-1.fc32’,
‘moodle-3.9.7-1.fc33’ und ‘moodle-3.11-1.fc34’ als Updates bereit. Die
Pakete für Fedora 32 und 33 sind bereits im Status ‘stable’ und sind im
Gegensatz zu Fedora 34 nicht als Sicherheitsupdates markiert. Da aber die
offiziellen Programmcode-Archivdateien benutzt wurden, ist davon
auszugehen, dass es sich dabei um einen Fehler handelt und die
Schwachstellen entsprechend behoben wurden. Das Update für Fedora 34 ist
noch im Status ‘testing’.
Version 1 (17.05.21):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Dateien zu manipulieren, Informationen auszuspähen sowie Cross-Site-
Scripting (XSS)-Angriffe, einen Denial-of-Service (DoS)-Angriff und nicht
spezifizierte Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen
sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen
erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer
Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Moodle 3.8.9,
3.9.7, 3.10.4 und 3.11 zur Behebung bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-1050]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (20.05.21):
Für Fedora 32, 33 und 34 stehen die Pakete ‘moodle-3.8.9-1.fc32’,
‘moodle-3.9.7-1.fc33’ und ‘moodle-3.11-1.fc34’ als Updates bereit. Die
Pakete für Fedora 32 und 33 sind bereits im Status ‘stable’ und sind im
Gegensatz zu Fedora 34 nicht als Sicherheitsupdates markiert. Da aber die
offiziellen Programmcode-Archivdateien benutzt wurden, ist davon
auszugehen, dass es sich dabei um einen Fehler handelt und die
Schwachstellen entsprechend behoben wurden. Das Update für Fedora 34 ist
noch im Status ‘testing’.
Version 1 (17.05.21):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Dateien zu manipulieren, Informationen auszuspähen sowie Cross-Site-
Scripting (XSS)-Angriffe, einen Denial-of-Service (DoS)-Angriff und nicht
spezifizierte Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen
sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen
erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer
Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Moodle 3.8.9,
3.9.7, 3.10.4 und 3.11 zur Behebung bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-1050]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html