2018-1871: Moodle: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-09-17 17:26)

Neues Advisory

Version 2 (2018-09-18 11:28)

Für Fedora 27 steht ein Sicherheitsupdate auf die Moodle Version 3.3.8, für Fedora 28 auf die Version 3.4.5 und für Fedora EPEL 7 auf die Version 3.1.14 im Status 'testing' zur Verfügung.

Betroffene Software

Bildung
Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in Moodle ermöglicht einem entfernten, einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff. Darüber hinaus existiert eine Schwachstelle in der von Moodle verwendeten Bibliothek 'QuickForm', die einem entfernten, nicht authentisierten Angreifer möglicherweise ebenfalls die Ausführung beliebigen Programmcodes ermöglicht.

Der Hersteller veröffentlicht Moodle 3.5.2, 3.4.5, 3.3.8 und 3.1.14 (LTS) als Sicherheitsupdates zur Behebung der Schwachstellen. Zur Ausnutzung der Schwachstelle CVE-2018-1999022 existiert in Moodle laut Hersteller kein gültiger Codepfad, die Bibliothek wurde dennoch auf den aktuellen Stand gebracht.

Schwachstellen:

CVE-2018-14630

Schwachstelle in Moodle ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-14631

Schwachstelle in Moodle ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-1999022

Schwachstelle in PEAR HTML_QuickForm ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.