Érintett rendszerek
MoodleMoodle.Org
Érintett verziók
Moodle 2.7.x
Moodle 2.8.x
Moodle 2.9.x
Moodle 3.0.x
Összefoglaló
A Moodle legutóbb napvilágra került sebezhetőségei számos kockázatot vetnek fel. A kockázatok listáján szerepel az adatlopás, a biztonsági megkötések megkerülése, valamint az XSS-támadások lehetősége is. Egyes esetekben az adatmanipulációt sem lehet kizárni.
Leírás
A sebezhetőségek az alábbi összetevőket, funkciókat érintik:
– bementi paraméterek ellenőrzése
– felhasználói profilok kezelése (külső adatbázis esetén)
– mod_data keresési funkció
– e-mail címekhez való hozzáférések kezelése
– Event Monitor
– riportok
– get_calendar_events() függvény
– mod_assign_save_submission() függvény
– Assignment plugin
– HTTP referer kezelés.
Megoldás
Az alábbi verziók már nem tartalmazzák a szóban forgó sérülékenységeket:
- 2.7.13
- 2.8.11
- 2.9.5
- 3.0.3
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: moodle.org
CVE-2016-2151 - NVD CVE-2016-2151
CVE-2016-2152 - NVD CVE-2016-2152
CVE-2016-2153 - NVD CVE-2016-2153
CVE-2016-2154 - NVD CVE-2016-2154
CVE-2016-2155 - NVD CVE-2016-2155
CVE-2016-2156 - NVD CVE-2016-2156
CVE-2016-2157 - NVD CVE-2016-2157
CVE-2016-2158 - NVD CVE-2016-2158
CVE-2016-2159 - NVD CVE-2016-2159
CVE-2016-2190 - NVD CVE-2016-2190