[Sec-cert] DFN-CERT-2013-1333 Mehrere Schwachstellen in Moodle [Linux][Fedora]

portal at dfn-cert.de portal at dfn-cert.de
Di Jul 23 15:26:01 CEST 2013


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Paket moodle

Betroffene Plattformen:

  Fedora 18
  Fedora 19


Mehrere Schwachstellen in Moodle ermöglichen einem entfernten Angreifer
schlimmstenfalls beliebige HTML- und Script-Befehle zur Ausführung zu
bringen.


Software Upgrade:

  Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

  <http://dl.fedoraproject.org/pub/fedora/linux/updates/>


CVE-2013-2245: Schwachstelle in Moodle

  RSS-Feed-Fehler in Moodle enthalten Informationen über den eingeloggten
  Benutzer. Dies ermöglicht einem entfernten Angreifer durch das Abfragen
  eines RSS-Feeds unter einer falschen Benutzerkennung vertrauliche Daten über
  einen anderen Benutzer in der Fehlermeldung zu erhalten.


CVE-2013-2243: Schwachstelle in Moodle

  In der 'Lesson'-Aktivität in Moodle kann die 'Matching'-Frage durch das
  Betrachten der Quellen manipuliert werden. Dies ermöglicht einem entfernten
  Angreifer die Antwort auf eine 'Matching'-Frage bezüglich der ID-Werte in
  der 'Lesson'-Aktivität zu bestimmten.


CVE-2013-2246: Schwachstelle in Moodle

  Moodle versäumt in der Datei 'feedback/lib.php' die Privilegien des
  Benutzers zu überprüfen. Dies ermöglicht einem entfernten Angreifer
  vertrauliche Informationen zu erlangen.


MSA-13-0026: Schwachstelle in Moodle

  Im IMS-LTI-Modul in Moodle hat eine Änderung der Einstellung der
  Privatsphäre keine Auswirkungen. Somit werden persönliche Daten immer
  übertragen. Dies ermöglicht einem entfernten Angreifer Zugriff auf
  vertrauliche Daten zu erlangen.


MSA-13-0025: Schwachstelle in Moodle

  Die von Moodle verwendete YUI-Flash-Bibliothek besitzt eine
  Cross-site-Scripting-Schwachstelle. Dies ermöglicht einem entfernten
  Angreifer beliebige HTML- und Script-Befehle im Kontext eines anderen
  Benutzers zur Ausführung zu bringen.


CVE-2013-2242: Schwachstelle in Moodle

  Moodle versäumt im Chat-Modul in der Datei 'mod/chat/gui_sockets/index.php'
  die Privilegien der Benutzer zu überprüfen. Dies ermöglicht einem
  entfernten, nicht privilegierten Angreifer Zugriff auf die
  Daemon-Mode-Chat-Funktion zu erhalten.


CVE-2013-2244: Schwachstelle in Moodle

  In Moodle werden Benutzerfelder als Spaltennamen der Datenbank angezeigt und
  bestimmte Werte werden nicht gefiltert. Dies ermöglicht einem entfernten
  Angreifer beliebige HTML- und Script-Befehle im Kontext eines anderen
  Benutzers zur Ausführung zu bringen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-1333/>

Das Hersteller Advisory:
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112199.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112206.html>

Schwachstelle CVE-2013-2242:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2242>

Schwachstelle CVE-2013-2243:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2243>

Schwachstelle CVE-2013-2244:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2244>

Schwachstelle CVE-2013-2245:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2245>

Schwachstelle CVE-2013-2246:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2246>

Moodle Security Advisory:
  <https://moodle.org/security/>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20130723/de833a3d/attachment-0001.p7s>


Mehr Informationen über die Mailingliste Sec-cert