DFN-CERT-2012-0697 Mehrere Schwachstellen in Moodle [Linux][Fedora]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket moodle

Betroffene Plattformen:

Fedora 17
Fedora 16
Fedora 15

Im der Moodle Software für Online-Lernplattformen sind verschiedene
Schwachstellen vorhanden, die es Angreifern unter Umständen ermöglichen, an
vertrauliche Informationen von Benutzern und der Software zu gelangen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-1157: Schwachstelle in Moodle

Alle Repositories in Moodle sind per Default für alle Benutzer lesbar. Dies
ermöglicht einem Angreifer unter Umständen, an vertrauliche Informationen zu
gelangen.

CVE-2012-1160: Schwachstelle in Moodle

Administratoren und Manager können sich fehlerhafter Weise für Foren in
Kurse einschreiben, ohne dass die Berechtigungen überprüft werden.

CVE-2012-1169: Schwachstelle in Moodle

Auch wenn die administrativen Einstellungen zur Darstellung von Benutzern
sich auf den Vornamen beschränken, ist der vollständige Name in der Seite
vorhanden. Dies ermöglicht einem Angreifer unter Umständen, an vertrauliche
Informationen zu gelangen.

CVE-2012-1156: Schwachstelle in Moodle

Beim Backup durch Moodle werden unter Umständen private Dateien von
Benutzern gespeichert. Dies ermöglicht einem Angreifer unter Umständen, an
vertrauliche Informationen von Benutzern zu gelangen.

CVE-2012-1158: Schwachstelle in Moodle

In Moodle werden fehlerhafter Weise verdeckte Grade-Items im Rahmen eines
Exports gespeichert. Dies ermöglicht einem Angreifer unter Umständen, an
vertrauliche Informationen zu gelangen.

CVE-2012-1159: Schwachstelle in Moodle

In Moodle werden fehlerhafter Weise verdeckte Kurs-Informationen im Rahmen
eines Reports gespeichert. Dies ermöglicht einem Angreifer unter Umständen,
an vertrauliche Informationen zu gelangen.

CVE-2012-1161: Schwachstelle in Moodle

Kurse, die über ein Tag identifizierbar sind, werden in einer Suche nach
Tags angezeigt, obwohl diese Informationen verdeckt sein sollten.

CVE-2012-1168: Schwachstelle in Moodle

Eine Funktion der Moodle Anwendung hat fehlerhafter Weise Passwörter von
Benutzern zurück gesetzt.

CVE-2012-1170: Schwachstelle in Moodle

Capability Checks eines externen Moodle Plugins werden unsicher
durchgeführt. Die Auswirkungen sind nicht weiter beschrieben worden.

CVE-2012-1155: Schwachstelle in Moodle

Die Export-Funktion der Datenbank-Aktivität in Moodle exportiert alle
Einträge. Dies ermöglicht einem authentifiziertem Angreifer an Einträge von
Gruppen zu gelangen, zu denen der Angreifer nicht gehört.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0697/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/077635.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078209.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/078210.html

Schwachstelle CVE-2012-1155:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1155

Schwachstelle CVE-2012-1156:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1156

Schwachstelle CVE-2012-1157:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1157

Schwachstelle CVE-2012-1158:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1158

Schwachstelle CVE-2012-1159:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1159

Schwachstelle CVE-2012-1160:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1160

Schwachstelle CVE-2012-1161:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1161

Schwachstelle CVE-2012-1168:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1168

Schwachstelle CVE-2012-1169:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1169