DFN-CERT-2013-1381 Mehrere Schwachstellen in Moodle [Linux][Fedora]

DFN-CERT-2013-1381 Mehrere Schwachstellen in Moodle [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket moodle

Betroffene Plattformen:

Fedora 17

Mehrere Schwachstellen in Moodle ermöglichen einem entfernten Angreifer
beliebige HTML- und Script-Befehle zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2013-2245: Schwachstelle in Moodle

RSS-Feed-Fehler in Moodle enthalten Informationen über den eingeloggten
Benutzer. Dies ermöglicht einem entfernten Angreifer durch das Abfragen
eines RSS-Feeds unter einer falschen Benutzerkennung vertrauliche Daten über
einen anderen Benutzer in der Fehlermeldung zu erhalten.

CVE-2013-2243: Schwachstelle in Moodle

In der ‘Lesson’-Aktivität in Moodle kann die ‘Matching’-Frage durch das
Betrachten der Quellen manipuliert werden. Dies ermöglicht einem entfernten
Angreifer die Antwort auf eine ‘Matching’-Frage bezüglich der ID-Werte in
der ‘Lesson’-Aktivität zu bestimmten.

CVE-2013-2246: Schwachstelle in Moodle

Moodle versäumt in der Datei ‘feedback/lib.php’ die Privilegien des
Benutzers zu überprüfen. Dies ermöglicht einem entfernten Angreifer
vertrauliche Informationen zu erlangen.

CVE-2013-2242: Schwachstelle in Moodle

Moodle versäumt im Chat-Modul in der Datei ‘mod/chat/gui_sockets/index.php’
die Privilegien der Benutzer zu überprüfen. Dies ermöglicht einem
entfernten, nicht privilegierten Angreifer Zugriff auf die
Daemon-Mode-Chat-Funktion zu erhalten.

CVE-2013-2244: Schwachstelle in Moodle

In Moodle werden Benutzerfelder als Spaltennamen der Datenbank angezeigt und
bestimmte Werte werden nicht gefiltert. Dies ermöglicht einem entfernten
Angreifer beliebige HTML- und Script-Befehle im Kontext eines anderen
Benutzers zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1381/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112872.html

Schwachstelle CVE-2013-2242:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2242

Schwachstelle CVE-2013-2243:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2243

Schwachstelle CVE-2013-2244:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2244

Schwachstelle CVE-2013-2245:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2245

Schwachstelle CVE-2013-2246:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2246

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben