2016-0480: Moodle: Mehrere Schwachstellen ermöglichen u.a. verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2016-03-21 16:05): Neues Advisory
Version 2 (2016-03-21 18:45): Für die Distributionen Fedora 22, 23 und 24 sowie Fedora EPEL 7 stehen mit den Paketen 'moodle-2.8.11-1.fc22', 'moodle-2.9.5-1.fc23', 'moodle-3.0.3-1.fc24' und 'moodle-3.0.3-1.el7' die entsprechenden Sicherheitsupdates auf Moodle 2.8.11, 2.9.5 und 3.0.3 im Status 'pending' (Fedora 22, Fedora 23) und 'testing' (Fedora 24, Fedora EPEL 7) bereit.

Betroffene Software

Bildung
Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Moodle ermöglichen einem entfernten, nicht authentifizierten Angreifer verschiedene Cross-Site-Scripting-Angriffe und das Ausspähen von Informationen. Mehrere weitere Schwachstellen ermöglichen einem Lehrer (Teacher, Instructor) als entferntem, einfach authentifizierten Angreifer das Ausspähen von Informationen, die Eskalation von Privilegien und möglicherweise einen Cross-Site-Request-Forgery-Angriff. Mehrere weitere Angriffe erlauben einem Schüler (Student) als entferntem, einfach authentifizierten Angreifer das Ausspähen von Informationen und die Manipulation von Dateien.

Moodle stellt die Programmversionen Moodle 2.7.13, 2.8.11, 2.9.5 und 3.0.3 als Sicherheitsupdates bereit, die die Schwachstellen beheben. Moodle 2.7.13 ist von den Schwachstellen CVE-2016-2154 und CVE-2016-2155 nicht betroffen.