Fedora 21：moodle-2.7.5-1.fc21 (2015-1751)

medium Nessus Plugin ID 81360

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

下列安全性通知現已設為公開：

====================================================================== ======== MSA-15-0001：LTI 模組中的存取檢查不充分

描述：AJAX 後端指令碼缺少功能檢查，可允許任何已註冊的使用者搜尋註冊工具清單
問題摘要：mod/lti/ajax.php 安全性問題
嚴重性/風險：輕微
受影響的版本：2.8 到 2.8.1、2.7 到 2.7.3、2.6 到 2.6.6 和不受支援的更舊版本
修正的版本：2.8.2、2.7.4 和 2.6.7
報告者：Petr Skoda
問題編號：MDL-47920 CVE
識別碼：CVE-2015-0211
變更 (主要)：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL- 47920

====================================================================== ======== MSA-15-0002：課程要求擱置核准頁面中有一個 XSS 弱點

描述：課程要求擱置核准頁面上的課程摘要會顯示給未逸出的管理員，此可允許用來發動 XSS 攻擊
問題摘要：課程要求擱置核准頁面中有 XSS 弱點 (權限提升?)嚴重性/風險：嚴重
受影響的版本：2.8 到 2.8.1、2.7 到 2.7.3、2.6 到 2.6.6 和不受支援的更舊版本
修正的版本：2.8.2、2.7.4 和 2.6.7
報告者：Skylar Kelty
問題編號：MDL-48368
因應措施：僅將 moodle/course:request 權限授予給受信任的使用者
CVE 識別碼：CVE-2015-0212
變更 (主要)：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL- 48368

====================================================================== ======== MSA-15-0003：Glossary 模組中可能有 CSRF 弱點

描述：Glossary 模組中有兩個檔案缺少工作階段金鑰檢查，可能允許跨網站要求偽造
問題摘要：Glossary 模組中有多個 CSRF 弱點
嚴重性/風險：嚴重
受影響的版本：2.8 到 2.8.1、2.7 到 2.7.3、2.6 到 2.6.6 和不受支援的更舊版本
修正的版本：2.8.2、2.7.4 和 2.6.7
報告者：Ankit Agarwal
問題編號：MDL-48106 CVE
識別碼：CVE-2015-0213
變更 (主要)：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL- 48106

====================================================================== ======== MSA-15-0004：Web 服務中有透過訊息功能造成的資訊洩漏問題

描述：透過 Web 服務可以存取訊息相關的功能 (例如：人員搜尋)，即使網站已停用訊息功能仍可存取
問題摘要：訊息外部功能不會檢查是否已啟用訊息功能
嚴重性/風險：輕微
受影響的版本：2.8 到 2.8.1、2.7 到 2.7.3、2.6 到 2.6.6 和不受支援的更舊版本
修正的版本：2.8.2、2.7.4 和 2.6.7
報告者：Juan Leyva
問題編號：MDL-48329 CVE
因應措施：停用 Web 服務或停用個別的訊息相關功能
CVE 識別碼：CVE-2015-0214
變更 (主要)：http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL- 48329

====================================================================== ======== MSA-15-0005：Web 服務中行事曆功能的存取檢查不充分

描述：透過 Web 服務，可以取得使用者權限不足以查看的行事曆事件資訊
問題摘要：calendar/externallib.php 缺少 self::validate_context($context)
嚴重性/風險：輕微
受影響的版本：2.8 到 2.8.1、2.7 到 2.7.3、2.6 到 2.6.6 和不受支援的更舊版本
修正的版本：2.8.2、2.7.4 和 2.6.7
報告者：Petr Skoda
問題編號：MDL-48017 CVE
識別碼：CVE-2015-0215
變更 (主要)：http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL- 48017

====================================================================== ======== MSA-15-0006：分級 Lesson 模組的功能缺少 XSS 位元遮罩

描述：據報告，可在 Lesson 模組中進行分級的使用者不是造成 XSS 風險的使用者，但他們的回饋會顯示出來而未清除
問題摘要：mod/lesson:grade 功能缺少 RISK_XSS，但文章回饋會顯示 noclean=true
嚴重性/風險：輕微
受影響的版本：2.8 到 2.8.1
修正的版本：2.8.2
報告者：Damyon Wiese
問題編號：MDL-48034 CVE
識別碼：
CVE-2015-0216
變更 (主要)：http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL- 48034

====================================================================== ======== MSA-15-0007：多媒體篩選器中可能有 ReDoS 問題

描述：篩選器中未最佳化的規則運算式可遭到惡意利用，以造成伺服器額外的負載或使特定頁面無法使用
問題摘要：多媒體篩選器中有 ReDoS 問題
嚴重性/風險：嚴重
受影響的版本：2.8 到 2.8.1、2.7 到 2.7.3、2.6 到 2.6.6 和不受支援的更舊版本
修正的版本：2.8.2、2.7.4 和 2.6.7
報告者：Nicolas Martignoni
問題編號：MDL-48546
因應措施：停用多媒體篩選器
CVE 識別碼：CVE-2015-0217
變更 (主要)：http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL- 48546

====================================================================== ======== MSA-15-0008：透過 Shibboleth 驗證外掛程式強制登出

描述：即使未經過 Shibboleth 的驗證，仍可偽造要求將使用者登出
問題摘要：透過 auth/shibboleth/logout.php 強制登出
嚴重性/風險：嚴重
受影響的版本：2.8 到 2.8.1、2.7 到 2.7.3、2.6 到 2.6.6 和不受支援的更舊版本
修正的版本：2.8.2、2.7.4 和 2.6.7
報告者：Petr Skoda
問題編號：MDL-47964
因應措施：拒絕存取 Web 伺服器組態中的 auth/shibboleth/logout.php 檔案
CVE 識別碼：CVE-2015-0218
變更 (主要)：http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL- 47964

====================================================================== ========

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。