Összefoglaló
A Moodle fejlesztői számos hibajavítást adtak ki a szoftverükhöz. Ezáltal olyan sebezhetőségeket szüntettek meg, amelyek jogosulatlan távoli művelet végrehajtásra, adatlopásra és adatmanipulációkra is módot adhatnak.
Leírás
A biztonsági frissítéssel az alábbi összetevők, funkciók lettek biztonságosabbak:
– kérdőívek, felmérők kitöltése
– csoportoknak történő üzenetküldés
– fájlkezelő
– scriptkezelés – szerepkörök kiosztása
– jelszó-helyreállítási tokenek generálása
– csoportinformációkhoz történő hozzáférések
– bemeneti paraméterek ellenőrzése (XSS-sebezhetőségek).
Megoldás
Az alábbi verziók már nem tartalmazzák az említett sebezhetőségeket:
2.7.10
2.8.8
2.9.2
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
execute code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: moodle.org
Egyéb referencia: isbk.hu
CVE-2015-5264 - NVD CVE-2015-5264
CVE-2015-5265 - NVD CVE-2015-5265
CVE-2015-5266 - NVD CVE-2015-5266
CVE-2015-5267 - NVD CVE-2015-5267
CVE-2015-5268 - NVD CVE-2015-5268
CVE-2015-5269 - NVD CVE-2015-5269
CVE-2015-5272 - NVD CVE-2015-5272