2021-1050: Moodle: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-05-17 17:03)

Neues Advisory

Version 2 (2021-05-20 13:12)

Für Fedora 32, 33 und 34 stehen die Pakete 'moodle-3.8.9-1.fc32', 'moodle-3.9.7-1.fc33' und 'moodle-3.11-1.fc34' als Updates bereit. Die Pakete für Fedora 32 und 33 sind bereits im Status 'stable' und sind im Gegensatz zu Fedora 34 nicht als Sicherheitsupdates markiert. Da aber die offiziellen Programmcode-Archivdateien benutzt wurden, ist davon auszugehen, dass es sich dabei um einen Fehler handelt und die Schwachstellen entsprechend behoben wurden. Das Update für Fedora 34 ist noch im Status 'testing'.

Version 3 (2021-05-27 11:08)

Das Sicherheitsupdate für Fedora 34 befindet sich mittlerweile im Status 'stable'. Im Sicherheitshinweis wird jetzt auch die Schwachstelle CVE-2021-3558 aufgeführt, die ein Angreifer mit niedrigen Privilegien aus der Ferne ausnutzen kann, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Die Schwachstelle wird in den Release Notes von Moodle 3.11 nicht erwähnt und betrifft auch die gleichzeitig veröffentlichte Version 3.10.4. Der Hersteller macht bisher keine Angaben zur Schwachstelle.

Betroffene Software

Bildung
Middleware
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen sowie Cross-Site-Scripting (XSS)-Angriffe, einen Denial-of-Service (DoS)-Angriff und nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Moodle 3.8.9, 3.9.7, 3.10.4 und 3.11 zur Behebung bereit.

Schwachstellen:

CVE-2021-32472

Schwachstelle in Moodle ermöglicht Ausspähen von Informationen

CVE-2021-32473

Schwachstelle in Moodle ermöglicht Ausspähen von Informationen

CVE-2021-32474

Schwachstelle in Moodle ermöglicht SQL-Injection-Angriff

CVE-2021-32475

Schwachstelle in Moodle ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-32476

Schwachstelle in Moodle ermöglicht Denial-of-Service-Angriff

CVE-2021-32477

Schwachstelle in Moodle ermöglicht Ausspähen von Informationen

CVE-2021-32478

Schwachstelle in Moodle ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-3558

Schwachstelle in Moodle ermöglicht Cross-Site-Scripting-Angriff

MSA-21-0019

Schwachstelle in Moodle ermöglicht nicht spezifizierte Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.