Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Moodle < 2.7.19 Betroffene Plattformen: Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen in Moodle vor Version 2.7.14, 2.8.12, 2.9.6 und 3.0.4 ermöglichen einem entfernten, zumeist einfach authentifizierten Angreifer die Durchführung eines Cross-Site-Request-Forgery (CSRF)-Angriffs, die Manipulation von Daten und das Ausspähen von Informationen. Weitere Schwachstellen in Moodle vor 2.7.13, 2.8.11, 2.9.5 und 3.0.3 ermöglichen einem entfernten, nicht authentifizierten Angreifer verschiedene Cross-Site-Scripting (XSS)-Angriffe und das Ausspähen von Informationen. Mehrere weitere Schwachstellen ermöglichen einem Lehrer (Teacher, Instructor) als entferntem, einfach authentifizierten Angreifer das Ausspähen von Informationen, die Eskalation von Privilegien und möglicherweise einen Cross-Site-Request-Forgery-Angriff. Mehrere weitere Angriffe erlauben einem Schüler (Student) als entferntem, einfach authentifizierten Angreifer das Ausspähen von Informationen und die Manipulation von Dateien. Für Fedora EPEL 6 steht ein Sicherheitsupdate in Form des Paketes 'moodle-2.7.19-1.el6' im Status 'testing' bereit. Hierzu werden bislang nur Schwachstellen referenziert, die bereits in früheren Release-Zyklen von Moodle behoben wurden, zu denen allerdings seinerzeit keine Sicherheitsupdates für Fedora EPEL 6 bereitgestellt wurden. Version 2.7.19 von Moodle ist die aktuellste Version des Versionszweigs. Mit dieser Version werden weitere, noch nicht bekannte Schwachstellen geschlossen. Sicherheitsupdates für diese Version werden noch bis zum 08.05.2017 zur Verfügung gestellt. Patch: Fedora Security Update FEDORA-EPEL-2017-75190374ce (Fedora EPEL 6, moodle-2.7.19-1.el6) https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-75190374ce
CVE-2016-3734: Schwachstelle in Moodle ermöglicht
Cross-Site-Request-Forgery-Angriff
In der Datei ‘markpost.php’ in Moodle, die eine URL zur Markierung eines
Forumbeitrags als ‘gelesen’ bereitstellt, wird der Session-Key nicht
geprüft. Ein entfernter, einfach authentifizierter Angreifer kann dies für
einen Cross-Site-Request-Forgery-Angriff nutzen.
CVE-2016-3733: Schwachstelle in Moodle ermöglicht Manipulation von Daten
Während der Wiederherstellung von Kursen in Moodle kann ein Lehrer die
Kursnummer (Course Idnumber) ohne Berechtigung überschreiben. Ein
entfernter, einfach authentifizierter Angreifer kann die Kursnummer eines
Kurses manipulieren und in der Folge möglicherweise die Verfügbarkeit eines
anderen Kurses einschränken.
CVE-2016-3732: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen
Die Prüfung in Moodle, ob die Auszeichnungen (Badges) anderer Benutzer
angesehen werden dürfen, basiert fälschlicherweise auf den eigenen
Freigaben, nicht auf denen des anderen Benutzers. Ein entfernter, einfach
authentifizierter Angreifer kann die Badges anderer Benutzer ansehen, wenn
er die Freigabe für seine eigenen Badges erteilt hat.
CVE-2016-3731: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen
Die Bezeichnung eines versteckten Forums oder einer versteckten
Forumsdiskussion in Moodle kann als Teil einer Fehlermeldung auf der
Abonnementseite auftauchen. Ein entfernter, nicht authentifizierter
Angreifer kann dadurch Informationen ausspähen.
CVE-2016-3729: Schwachstelle in Moodle ermöglicht Manipulation von Daten
Die Funktion in Moodle, die Formulare zur Bearbeitung von Nutzerdaten
bereitstellt und verwaltet, sperrt vom Administrator gesperrte Felder nur in
der Benutzeroberfläche. Die Änderung der Daten in den gesperrten Feldern
durch den Benutzer ist weiterhin möglich. Ein entfernter, einfach
authentifizierter Angreifer kann ohne Autorisierung Daten manipulieren.
CVE-2016-2190: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen
Die Ziele externer Links in Moodle, die über das Attribut ‘_blank’ (neues
Fenster, neuer Tab) angesprochen werden, können über einen Referrer
Informationen über die Herkunft des Benutzers ausspähen, da das
HTML5-Attribut ‘rel=noreferrer’ für externe Links nicht gesetzt ist. Ein
entfernter, nicht authentifizierter Angreifer kann Informationen ausspähen.
CVE-2016-2159: Schwachstelle in Moodle ermöglicht Manipulation von Dateien
Die Funktion ‘save_submission’, die beispielsweise aufgerufen wird, wenn
Studenten Lösungen zu Aufgaben einreichen, prüft nicht, ob der späteste
Abgabezeitpunkt (due date) für die Aufgabe bereits überschritten ist. Ein
Student, als entfernter, einfach authentifizierter Angreifer, kann Lösungen
zu Aufgaben nach Ablauf der Bearbeitungszeit einreichen und dadurch bereits
eingereichte Dateien manipulieren.
CVE-2016-2158: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen
Die Einstellung ‘force_login’ zur Zugriffssteuerung für Kurskategorieseiten
ist wirkungslos. Ein entfernter, nicht authentifizierter Angreifer kann
Informationen zu Kurskategorien ausspähen.
CVE-2016-2157: Schwachstelle in Moodle ermöglicht
Cross-Site-Request-Forgery-Angriff
Auf der Seite zur Verwaltung der Assignment-Plugins von Moodle existiert
keine Prüfung auf Gültigkeit der Administratorsitzung. Ein entfernter,
einfach authentifizierter Angreifer mit Zugriff auf die
Plugin-Verwaltungsseite kann dadurch möglicherweise einen
Cross-Site-Request-Forgery-Angriff (CSRF-Angriff) durchführen.
CVE-2016-2156: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen
Die Funktion ‘get_calendar_events’ liefert auch Ereignisse zurück, die zu
versteckten Aktivitäten gehören. Ein entfernter, einfach authentifizierter
Angreifer kann über die Kalenderfunktion Informationen zu versteckten
Aktivitäten ausspähen.
CVE-2016-2155: Schwachstelle in Moodle ermöglicht Privilegieneskalation
Durch eine fehlerhafte Berechtigungsprüfung in der Einzelansicht eines
Notenberichts (Single View Grade Report) kann ein Lehrer (Instructor) mit
geringen Berechtigungen eine bestimmte Auswahl (Exclude Grade) treffen, die
höher berechtigten Benutzern vorbehalten ist. Ein entfernter, einfach
authentifizierter Angreifer kann seine Privilegien eskalieren.
CVE-2016-2154: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen
Die Namen versteckter Kurse (hidden Courses) werden Benutzern angezeigt, die
die Möglichkeit haben, den Ereignismonitor (Event Monitor) zu verwenden. Ein
entfernter, einfach authentifizierter Angreifer kann so Informationen
ausspähen.
CVE-2016-2153: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff
Bestimmte Suchparameter in der erweiterten Suche von ‘mod_data’ werden nach
Eingabe ungeprüft über HTML wiedergegeben. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch einen Cross-Site-Scripting-Angriff
ausführen.
CVE-2016-2152: Schwachstelle in Moodle ermöglicht
Cross-Site-Scripting-Angriff
Daten aus externen Quellen werden von Moodle nicht validiert. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter Profildaten in externen Datenbanken, die von Moodle importiert
werden, einen Cross-Site-Scripting-Angriff ausführen.
CVE-2016-2151: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen
Bei der Darstellung von Benutzer-Emails in der Teilnehmerliste eines Kurses
werden Berechtigungen nicht korrekt validiert. Ein Lehrer (Teacher), als
entfernter, einfach authentifizierter Angreifer, kann Emails von Studenten
(Students) in der Teilnehmerliste sehen und so Informationen ausspähen.
CVE-2016-0724: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen
In den Webservice-Funktionen ‘core_enrol_get_course_enrolment_methods’ und
‘enrol_self_get_instance_info’ in Moodle existiert eine Schwachstelle, da
beim Zugriff auf versteckte Kurse die Berechtigung des Benutzers für diese
Aktion nicht geprüft wird. Ein entfernter, einfach authentifizierter
Angreifer kann dies ausnutzen, um Informationen auszuspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0440/
Schwachstelle CVE-2016-0724 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0724
Schwachstelle CVE-2016-2151 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2151
Schwachstelle CVE-2016-2152 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2152
Schwachstelle CVE-2016-2153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2153
Schwachstelle CVE-2016-2154 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2154
Schwachstelle CVE-2016-2155 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2155
Schwachstelle CVE-2016-2156 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2156
Schwachstelle CVE-2016-2157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2157
Schwachstelle CVE-2016-2158 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2158
Schwachstelle CVE-2016-2159 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2159
Schwachstelle CVE-2016-2190 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2190
Schwachstelle CVE-2016-3729 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3729
Schwachstelle CVE-2016-3731 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3731
Schwachstelle CVE-2016-3732 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3732
Schwachstelle CVE-2016-3733 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3733
Schwachstelle CVE-2016-3734 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3734
Fedora Security Update FEDORA-EPEL-2017-75190374ce (Fedora EPEL 6,
moodle-2.7.19-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-75190374ce
Moodle 2.7.19 Release Notes:
https://docs.moodle.org/dev/Moodle_2.7.19_release_notes
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
