ZAKKI|逃げるけどこれは作戦だぞ

バイオハザードのネタ

moodleのアップデートが出ているようです

calendar

reload

moodleのアップデートが出ているようです

アップデートをおすすめします

moodleのアップデート通知が来ていました。リリースされたバージョンは以下の通りです。

  • Moodle3.2.2
  • Moodle3.1.5
  • Moodle3.0.9
  • Moodle2.7.19

ダウンロードはMoodleの公式ダウンロードサイトかGitからできます。かなり多くのバグがフィックスされたようですので、該当する方はなるべく早く最新に更新するべきでしょう。脆弱性が改善されます。Moodleのセキュリティーブログ?のようなページに詳細が報告されているようです。

HTMLインジェクションが可能だった?

HTML injection with potential XSS attack was possible by modifying URL for assignment submission and tricking another user into following it

セキュリティページにはこう書いてある。潜在的なクリスサイトスクリプティングの脆弱性があって、HTMLのインジェクションができた。と解釈したんだけども、この最新の投稿の日付が2017年1月17日になっていて、どうもよく分からない。アップグレードしない場合は、自分でパッチを当てるかその機能を無効にしろと言っている。公式の日本語ドキュメントサイトならあるのだが、これはあくまで日本語化しただけ。ガイド的な良いサイトがある。しかし、Moodleなんて管理しているところは大学など教育機関だろう。大学なら学生や院生を使うこともできるかもしれないが、そうできないところではダウンロード以外の手段なんて実行できないだろう。

以下は、そのリストです

==============================================================================

MSA-17-0005: SQL injection via user preferences

Description:       PoC was presented of SQL injection by an ordinary

                   registered user on Moodle 3.2 via web interface. Similar

                   scenario could be used in previous versions of Moodle but

                   only by managers/admins and only via web services.

Issue summary:     Remote Code Execution @ 3.2.1

Severity/Risk:     Serious

Versions affected: 3.2 to 3.2.1, 3.1 to 3.1.4, 3.0 to 3.0.8, 2.7.0 to 2.7.18

                   and other unsupported versions

Versions fixed:    3.2.2, 3.1.5, 3.0.9 and 2.7.19

Reported by:       Netanel Rubin

Issue no.:         MDL-58010

CVE identifier:    CVE-2017-2641

Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-58010

==============================================================================

MSA-17-0007: Global search displays user names for unauthenticated users

Description:       Global search does not respect “Force login for profiles”

                   setting and displays user names to guests when it should

                   not (User profiles were still not displayed)

Issue summary:     Global search display user names, for unauthenticated user

                   search

Severity/Risk:     Minor

Versions affected: 3.2 to 3.2.1

Versions fixed:    3.2.2

Reported by:       Nadav Kavalerchik

Issue no.:         MDL-56526

CVE identifier:    CVE-2017-2643

Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-56526

==============================================================================

MSA-17-0008: XSS in evidence of prior learning

Description:       Registered user could submit evidence of prior learning

                   that includes XSS that will be executed for another user

                   who tried to edit the same evidence

Issue summary:     XSS in evidence of prior learning

Severity/Risk:     Minor

Versions affected: 3.2 to 3.2.1 and 3.1 to 3.1.4

Versions fixed:    3.2.2 and 3.1.5

Reported by:       Jaymark Pestaño

Issue no.:         MDL-57596

CVE identifier:    CVE-2017-2644

Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57596

==============================================================================

MSA-17-0009: XSS in attachments to evidence of prior learning

Description:       Serving files attached to evidence of prior learning did

                   not force download. When viewed by other users they would

                   be opened in current moodle sessions

Issue summary:     XSS in attachments to evidence of prior learning

Severity/Risk:     Serious

Versions affected: 3.2 to 3.2.1 and 3.1 to 3.1.4

Versions fixed:    3.2.2 and 3.1.5

Reported by:       wez3

Issue no.:         MDL-57597

CVE identifier:    CVE-2017-2645

Changes (master):  http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-57597

==============================================================================

まあ、これを読み解いて、自身で機能をOFFにするのは骨が折れるだろう。しかも機能をOFFにしたら、Moodleで提供しているサービスが根本的に不全になってしまうかもしれない。

このへんの条件は

  1. 英語圏で開発されているオープンソース
  2. 公式日本語サイトがない
  3. マイナーなソフトウェア

などなどが挙げられる。WordPressくらい広く各所で利用されているなら問題ないのだが。オンライン教育用のCMSだから、利用される場所は限られる。まあ、無料で利用させてもらえるのだから仕方がない。

役に立ちそうなサイトのリスト

この記事をシェアする

コメント

コメントはありません。

down コメントを残す




逃げるけどこれは作戦だぞ

ZAKKI

ZAKKI

攻略サイトでありません。