Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (27.03.2015):
Für Fedora 20, 21 und 22 werden Sicherheitsupdates für Moodle auf die
jeweils aktuellen Versionen der betreffenden Branches im Status ‘testing’
bereitgestellt.
Version 1 (26.03.2015):
Neues Advisory
Betroffene Software:
Moodle 2.5.x
Moodle < 2.6.10
Moodle < 2.7.7
Moodle < 2.8.5
Betroffene Plattformen:
Red Hat Fedora 20
Red Hat Fedora 21
Red Hat Fedora 22
Extra Packages for Red Hat Enterprise Linux 6
Durch Ausnutzen der Schwachstellen kann ein entfernter, nicht
authentisierter Angreifer Informationen ausspähen und weitere Angriffe
durchführen, welche neben der Vertraulichkeit auch die Integrität
beeinträchtigen. Für Fedora EPEL 6 wurde ein Sicherheitsupdate für Moodle
2.5.x auf 2.6.x, d. h. die aktuelle Version 2.6.10 jenes Branches, zur
Verfügung gestellt.
Patch:
Fedora Security Update FEDORA-EPEL-2015-1380
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1380/moodle-2.6.10-1.el6
Patch:
Fedora Security Update FEDORA-2015-4530
https://admin.fedoraproject.org/updates/FEDORA-2015-4530/moodle-2.6.10-1.fc20
Patch:
Fedora Security Update FEDORA-2015-4613
https://admin.fedoraproject.org/updates/FEDORA-2015-4613/moodle-2.8.5-1.fc22
Patch:
Fedora Security Update FEDORA-2015-4724
https://admin.fedoraproject.org/updates/FEDORA-2015-4724/moodle-2.7.7-1.fc21
CVE-2015-2266 CVE-2015-2267 CVE-2015-2268 CVE-2015-2269 CVE-2015-2270
CVE-2015-2271 CVE-2015-2272 CVE-2015-2273: Mehrere Schwachstellen in Moodle
Mehrere nicht näher beschriebene Schwachstellen wurden in Moodle
festgestellt. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstellen ausnutzen, um Angriffe durchzuführen, welche die
Vertraulichkeit und Integrität beeinträchtigen.
CVE-2015-1493: Schwachstelle in Moodle erlaubt Ausspähen von Informationen
Eine Schwachstelle in Moodle ermöglicht Directory-Traversal-Angriffe über
einige Dateien, welche JS dienen (siehe Microsoft Sicherheitshinweise
MSA-15-0009). Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, um Informationen auszuspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0414/
Fedora Security Update FEDORA-EPEL-2015-1380:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1380/moodle-2.6.10-1.el6
Schwachstelle CVE-2015-1493 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1493
Schwachstelle CVE-2015-2266 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2266
Schwachstelle CVE-2015-2267 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2267
Schwachstelle CVE-2015-2268 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2268
Schwachstelle CVE-2015-2269 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2269
Schwachstelle CVE-2015-2270 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2270
Schwachstelle CVE-2015-2271 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2271
Schwachstelle CVE-2015-2272 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2272
Schwachstelle CVE-2015-2273 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2273
Fedora Security Update FEDORA-2015-4530:
https://admin.fedoraproject.org/updates/FEDORA-2015-4530/moodle-2.6.10-1.fc20
Fedora Security Update FEDORA-2015-4613:
https://admin.fedoraproject.org/updates/FEDORA-2015-4613/moodle-2.8.5-1.fc22
Fedora Security Update FEDORA-2015-4724:
https://admin.fedoraproject.org/updates/FEDORA-2015-4724/moodle-2.7.7-1.fc21
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
