CERT-FI haavoittuvuustiedote 075/2010

29.4.2010

Moodlessa useita haavoittuvuuksia

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Moodle on verkkopohjaisten oppimisympäristöjen tuottamiseen tarkoitettu sovelluskehys. Moodlesta on löytynyt useita haavoittuvuuksia joiden avulla hyökkääjä voi suorittaa XSS- tai SQL Injection -tyyppisiä hyökkäyksiä, tai hankkia oikeudettomasti tietoa järjestelmässä toteutettavien kurssien osallistujista. Haavoittuvuuksien onnistunut hyväksikäyttö vaatii osassa haavoittuvuuksia järjestelmään kirjautumista.

HAAVOITTUVAT OHJELMISTOT:

• Moodle ennen versiota 1.8.12
• Moodle ennen versiota 1.9.8

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Moodle versioon 1.8.12 tai 1.9.8

Osaan haavoittuvuuksista on saatavilla rajoitusmenetelmä joilla haavoittuvuuden vaikutusta voi pienentää. Rajoitusmenetelmät ovat listattuna Moodlen www-sivuilla.

LISÄTIETOA:

• http://moodle.org/security/
• http://cvs.moodle.org/moodle/lib/form/selectgroups.php?r1=1.2.4.2&r2=1.2.4.3
• http://cvs.moodle.org/moodle/lib/form/select.php?r1=1.10.4.2&r2=1.10.4.3
• http://cvs.moodle.org/moodle/lib/weblib.php?r1=1.1349&r2=1.1350
• http://cvs.moodle.org/moodle/user/view.php?r1=1.168.2.28&r2=1.168.2.29
• http://cvs.moodle.org/moodle/mod/wiki/view.php?r1=1.76.2.6&r2=1.76.2.7
• http://cvs.moodle.org/moodle/search/query.php?r1=1.16.2.10&r2=1.16.2.11
• CVE-2010-1613 CVE-2010-1614 CVE-2010-1615 CVE-2010-1616
• CVE-2010-1617 CVE-2010-1618 CVE-2010-1619
  
  

PÄIVITYSHISTORIA:

29.4.2010, kello 12.28: Julkaistu
30.4.2010, kello 12.54: Lisätty CVE-numerot

Sivua päivitetty 30.04.2010

Tulostusversio