CH azonosító
CH-5325Angol cím
Moodle Two Security Bypass Security IssuesFelfedezés dátuma
2011.08.07.Súlyosság
AlacsonyÖsszefoglaló
A Moodle két sérülékenységét jelentették, amelyeket kihasználva rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági szabályokat.
Leírás
- A szerepkör hozzárendelő web szolgáltatás “role_assign()” függvényében jelentkező hiba miatt a hozzáférési jogosultságok nem ellenőrződnek, amit kihasználva szerepkörök rendelhetőek felhasználókhoz.
- A tanfolyam létrehozó hozzáférési engedélyeinek ellenőrzésekor jelentkező hiba kihasználható a tanfolyam helyi szűrési feltételeinek megváltoztatására.
A sérülékenység a 2.0.4 és 2.1.1. előtti verziókban vált ismertté.
Megoldás
Frissítsen a 2.0.4 és 2.1.1. verziókra és változtassa meg a tanfolyam létrehozók jogosultságait.
Támadás típusa
Hijacking (Visszaélés)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: moodle.org
Gyártói referencia: moodle.org
SECUNIA 45487