2018-2365: Moodle: Eine Schwachstelle ermöglicht einen Cross-Site-Request-Forgery-Angriff

Historie:

Version 1 (2018-11-19 14:16)

Neues Advisory

Version 2 (2018-11-22 11:04)

Für Fedora 27, 28 und 29 sowie Fedora EPEL 7 stehen Sicherheitsupdates auf die aktuellen Moodle Releases in Form der Pakete 'moodle-3.3.9-1.fc27', 'moodle-3.4.6-1.fc28', 'moodle-3.5.3-1.fc29' bzw. 'moodle-3.1.15-1.el7' im Status 'testing' bereit.

Betroffene Software

Bildung
Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann z. B. mit Hilfe einer präparierten Webseite oder E-Mail, welche ein Nutzer zuvor öffnen muss, Anfragen im Kontext des Nutzers an Moodle senden und dadurch einen 'Cross-Site-Request-Forgery' (CSRF)-Angriff ausführen.

Moodle stellt die Versionen 3.6, 3.5.3 (LTS), 3.4.6, 3.3.9 und 3.1.15 (LTS) zur Behebung der Schwachstelle bereit. Der Hersteller weist darauf hin, dass Moodle 3.3.9 das letzte Update für diesen Versionszweig ist und auch aktuell nicht mehr unterstützte Versionszweige der Software von der Schwachstelle betroffen sind.

Schwachstellen:

CVE-2018-16854

Schwachstelle in Moodle ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.