DFN-CERT-2017-0842 Moodle: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Request-Forgery-Angriff [Linux]

DFN-CERT-2017-0842 Moodle: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Request-Forgery-Angriff [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Moodle < 2.7.20 Moodle < 3.0.10 Moodle < 3.1.6 Moodle < 3.2.3 Betroffene Plattformen: GNU/Linux Mehrere Schwachstellen ermöglichen einem Benutzer, als entferntem, einfach authentisierten Angreifer, die Durchführung von Angriffen in deren Folge er für bestimmte Aktionen die Berechtigung anderer Benutzer übrernehmen oder diese ohne Berechtigung durchführen kann. Hierdurch sind das Ausspähen von Informationen und das Darstellen falscher Informationen möglich. Moodle hat die Programmversionen 2.7.20, 3.0.10, 3.1.6 und 3.2.3 als Sicherheitsupdates zur Verfügung gestellt, um diese Schwachstellen zu beheben. Die mit MSA-17-0013 beschriebene Schwachstelle betrifft nur die Versionszweige 3.1.x und 3.2.x. Patch: Moodle 2.7.20 Release Notes https://docs.moodle.org/dev/Moodle_2.7.20_release_notes

Patch:

Moodle 3.0.10 Release Notes

https://docs.moodle.org/dev/Moodle_3.0.10_release_notes

Patch:

Moodle 3.1.6 Release Notes

https://docs.moodle.org/dev/Moodle_3.1.6_release_notes

Patch:

Moodle 3.2.3 Release Notes

https://docs.moodle.org/dev/Moodle_3.2.3_release_notes

MSA-17-0013: Schwachstelle in Moodle ermöglicht Darstellen falscher
Informationen

In Moodle 3.2 – 3.2.2 und 3.1 – 3.1.5 existiert eine Schwachstelle aufgrund
fehlender Prüfungen beim Hinzufügen von Forum Post Anhängen in Web Services,
wodurch Benutzer über Web Service aus der Mobile App heraus Anhänge
hinzufügen können, ohne über die erforderliche Berechtigung zu verfügen. Ein
entfernter, einfach authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um ohne Berechtigung Anhänge zu Forum Posts hinzuzufügen und
somit fälschlich Informationen darzustellen.

CVE-2017-7491: Schwachstelle in Moodle ermöglicht
Cross-Site-Request-Forgery-Angriff

In ‘my/index.php’ in Moodle 3.2 – 3.2.2, 3.1 – 3.1.5, 3.0 – 3.0.9 und 2.7 –
2.7.19 existiert eine Schwachstelle, weil der Link zum Ändern von
Benutzereinstellungen betreffend der in der Übersicht angezeigten Anzahl von
Kursen nicht gegen Cross-Site-Request-Forgery (CSRF) geschützt ist. Ein
entfernter, einfach authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um durch einen Cross-Site-Request-Forgery (CSRF)-Angriff
Verwirrung zu stiften.

CVE-2017-7490: Schwachstelle in Moodle ermöglicht Ausspähen von
Informationen

In Moodle 3.2 – 3.2.2, 3.1 – 3.1.5, 3.0 – 3.0.9 und 2.7 – 2.7.19 existiert
eine Schwachstelle, weil die Berechtigung Blogs zu durchsuchen nicht
ordnungsgemäß geprüft wird. Ein entfernter, einfach authentisierter
Angreifer kann diese Schwachstelle ausnutzen, um Blogs zu durchsuchen, indem
er die komplette URL in der Adresszeile einträgt, selbst dann, wenn die
Möglichkeit ‘moodle/blog:search’ von dessen Rolle entfernt wurde, und somit
Informationen ausspähen.

CVE-2017-7489: Schwachstelle in Moodle ermöglicht Darstellen falscher
Informationen

In Moodle 3.2 – 3.2.2, 3.1 – 3.1.5, 3.0 – 3.0.9 und 2.7 – 2.7.19 existiert
eine Schwachstelle, die einem Benutzer ermöglicht, den externen Blog-Link
eines anderen Benutzers zu verändern und dadurch den Blog zu übernehmen. Ein
entfernter, einfach authentisierter Angreifer kann somit falsche
Informationen darstellen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0842/

Moodle 2.7.20 Release Notes:
https://docs.moodle.org/dev/Moodle_2.7.20_release_notes

Moodle 3.0.10 Release Notes:
https://docs.moodle.org/dev/Moodle_3.0.10_release_notes

Moodle 3.1.6 Release Notes:
https://docs.moodle.org/dev/Moodle_3.1.6_release_notes

Moodle 3.2.3 Release Notes:
https://docs.moodle.org/dev/Moodle_3.2.3_release_notes

Moodle Security Advisory MSA-17-0010: External blog editing takeover:
https://moodle.org/mod/forum/discuss.php?d=352353&parent=1421787

Moodle Security Advisory MSA-17-0011: Searching of blogs possible without
capability to do it:
https://moodle.org/mod/forum/discuss.php?d=352354&parent=1421788

Moodle Security Advisory MSA-17-0012: CSRF in number of courses displayed in
the course overview block:
https://moodle.org/mod/forum/discuss.php?d=352355&parent=1421789

Moodle Security Advisory MSA-17-0013: Missing permission check when adding
forum post attachments in Web Services:
https://moodle.org/mod/forum/discuss.php?d=352356&parent=1421790

Schwachstelle CVE-2017-7489 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7489

Schwachstelle CVE-2017-7490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7490

Schwachstelle CVE-2017-7491 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7491

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben