2017-1229: Moodle: Mehrere Schwachstellen ermöglichen u.a. das Erlangen von Benutzerrechten
Historie:
- Version 1 (2017-07-17 16:29)
- Neues Advisory
- Version 2 (2017-07-24 12:04)
- Für Fedora 24 und 25 sowie für Fedora EPEL 7 steht Moodle in der Version 3.1.7 und für Fedora 26 in der Version 3.2.4 als Sicherheitsupdate zur Behebung der entsprechenden Schwachstellen im Status 'testing' bereit.
Betroffene Software
Bildung
Middleware
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein entfernter, nicht authentisierter Angreifer kann durch Ausnutzen einer Schwachstelle in phpCAS die Authentisierung in Moodle umgehen und somit Benutzerrechte erlangen. Mehrere weitere Schwachstellen ermöglichen einem Benutzer, als entferntem, einfach authentisierten Angreifer, die Manipulation von Konfigurationseinstellungen sowie das Ausspähen von Informationen.
Moodle hat die Programmversionen 3.1.7, 3.2.4 und 3.3.1 als Sicherheitsupdates bereitgestellt, um die Schwachstellen zu beheben. Die mit MSA-17-0014 beschriebene Schwachstelle betrifft nur die Version 3.3.
Schwachstellen:
CVE-2017-1000071
Schwachstelle in phpCAS ermöglicht Erlangen von BenutzerrechtenCVE-2017-2642
Schwachstelle in Moodle ermöglicht Ausspähen von InformationenCVE-2017-7531
Schwachstelle in Moodle ermöglicht Ausspähen von InformationenCVE-2017-7532
Schwachstelle in Moodle ermöglicht Manipulation von Kurseinstellungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.