Kurzinfo CB-K18/0134

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Moodle: Mehrere Schwachstellen ermöglichen u.a. einen Server-Side-Request-Forgery-Angriff
Datum: 22.01.2018
Software: Moodle < 3.1.10, Moodle < 3.2.7, Moodle < 3.3.4, Moodle < 3.4.1
Plattform: GNU/Linux
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2018-1042, CVE-2018-1043, CVE-2018-1044, CVE-2018-1045
Bezug: Moodle 3.1.10 Release Notes
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Moodle ist ein freies, objektorientiertes Kurs-Managementsystem und eine Lernplattform, die Funktionen zum Erstellen von Online Bildungsangeboten bereitstellt. Moodle wurde in PHP entwickelt und unterstützt verschiedene Datenbankmanagementsysteme (DBMS).

Mehrere Schwachstellen in Moodle ermöglichen einem entfernten, einfach authentifizierten Angreifer die Durchführung eines Server-Side-Request-Forgery-Angriffs (XSRF) und in der Folge das Ausspähen von Informationen, das Ausspähen von Quiz-Resultaten über die Mobile App und die Durchführung eines Cross-Site-Scripting-Angriffs. Für letzteren sind besondere Privilegien (Tutor, Lehrer) notwendig. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen der Sicherheitseinstellung 'cURL blocked Hosts List'. Der Hersteller stellt die Versionen Moodle 3.1.10 (LTS), 3.2.7, 3.3.4 und 3.4.1 als Sicherheitsupdates zur Verfügung. Der Versionszweig 3.1 ist dabei nicht von CVE-2018-1043 betroffen, der Versionszweig 3.4 nicht von CVE-2018-1045.

  1. Moodle 3.1.10 Release Notes

  2. Moodle 3.2.7 Release Notes

  3. Moodle 3.3.4 Release Notes

  4. Moodle 3.4.1 Release Notes

  5. Moodle Security Advisory MSA-18-0001: Server Side Request Forgery in the filepicker

  6. Moodle Security Advisory MSA-18-0002: Setting for blocked hosts list can be bypassed with multiple A record hostnames

  7. Moodle Security Advisory MSA-18-0003: Privilege escalation in quiz web services

  8. Moodle Security Advisory MSA-18-0004: XSS in calendar event name

  9. Schwachstelle CVE-2018-1042 (NVD)

  10. Schwachstelle CVE-2018-1043 (NVD)

  11. Schwachstelle CVE-2018-1044 (NVD)

  12. Schwachstelle CVE-2018-1045 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.