Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Moodle <= 2.4.8 Moodle <= 2.5.4 Moodle <= 2.6.1 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen erlauben entweder das Umgehen von Sicherheitsmaßnahmen, das Erlangen von Benutzerrechten, das Ausspähen von Informationen oder das Darstellen falscher Informationen. Patch: Fedora Hersteller-Advisory FEDORA-EPEL-2014-0889 https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0889/moodle-2.4.9-1.el6
CVE-2014-0129: Schwachstelle in Moodle
Es existiert eine Schwachstelle in Moodle. Ein entfernter, nicht
authentifizierter Angreifer kann den Badge-Status ändern und somit falsche
Informationen darstellen.
CVE-2014-0127: Schwachstelle in Moodle Feedback
Eine Schwachstelle in Moodle besteht darin, dass eine Feedback Aktivität
gestartet werden kann, obwohl anzunehmen ist, dass der Task bereits
geschlossen sei. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, um unter Umständen unberechtigt Feedback zu geben.
CVE-2014-0126: Schwachstelle in Moodle
Das Session-Checking beim Importieren von IMS-Enterprise-IDs in
“enrol/imsenterprise/importnow.php” ist fehlerhaft. Ein entfernter, nicht
authentifizierter Angreifer kann Cross-Site-Request-Forgery-Angriffe
durchführen und damit falsche Informationen darstellen.
CVE-2014-0125: Schwachstelle in Moodle Alfresco
Eine Schwachstelle in Moodle besteht darin, dass Alias Links auf Einträge im
Alfresco Repository mit Information bestückt sind, welche es einem
entfernten, nicht authentisierten Angreifer ermöglichen, sich anstelle des
berechtigten Dateibesitzers also dieser in Alfresco auszugeben.
CVE-2014-0124: Schwachstelle in Moodle Forum und Quiz
Eine Schwachstelle in Moodle besteht darin, dass Forum und Quiz die
Email-Adressen von Benutzern auch dann anzeigen, wenn die Einstellungen dies
nicht erlauben sollten. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um Email-Adressen auszuspähen.
CVE-2014-0123: Schwachstelle in Moodle Wiki
Eine Schwachstelle in Moodle besteht in einer fehlenden Zugriffsprüfung für
Wiki-Seiten. Diese Schwachstelle erlaubt einem entfernten, nicht
authentisierten Angreifer (zum Beispiel einem anderen Benutzer) über den
“Recent Activity Block” auch die Wiki-Seiten anderer Benutzer auszuspähen.
CVE-2014-0122: Schwachstelle in Moodle Chat
Eine Schwachstelle in Moodle (/mod/chat/chat_ajax.php) besteht darin, dass
die zur Verfügung stehenden Möglichkeiten für einen Chat nur zu Beginn des
Chats geprüft werden, aber nicht während desselben, so dass Änderungen nicht
berücksichtigt werden. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um nicht spezifizierte Angriffe
durchzuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0347/
Schwachstelle CVE-2014-0124 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0124
Schwachstelle CVE-2014-0126 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0126
Schwachstelle CVE-2014-0123 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0123
Schwachstelle CVE-2014-0122 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0122
Schwachstelle CVE-2014-0127 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0127
Schwachstelle CVE-2014-0125 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0125
Schwachstelle CVE-2014-0129 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0129
Fedora Hersteller-Advisory FEDORA-EPEL-2014-0889:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0889/moodle-2.4.9-1.el6
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
