S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 avril 2009
N° CERTA-2009-AVI-128
Affaire suivie par: CERT-FR
le 03 avril 2009

Avis du CERT-FR

Objet: Vulnérabilité dans Moodle

Gestion du document

Référence CERTA-2009-AVI-128
Titre Vulnérabilité dans Moodle
Date de la première version 03 avril 2009
Date de la dernière version 03 avril 2009
Source(s) Notes des modifications de la version 1.9 de Moodle
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données.

Systèmes affectés

  • Moodle versions 1.6.9 et antérieures ;
  • Moodle versions 1.7.7 et antérieures ;
  • Moodle versions 1.8 antérieures à 1.8.9 ;
  • Moodle versions 1.9 antérieures à 1.9.5.

Résumé

Une vulnérabilité dans Moodle permet d'afficher le contenu des fichiers accessibles en lecture par le serveur Web.

Description

L'application d'apprentissage en ligne Moodle utilise un environnement LaTeX pour le rendu visuel de certaines images. Le filtre LaTeX peut être détourné pour provoquer l'affichage des fichiers accessibles en lecture par le serveur Web.

Solution

Les branches 1.8 et 1.9 de Moodle ont, chaque semaine, de nouveaux paquetages disponibles en téléchargement. Cette vulnérabilité est corrigée dans les paquetages 1.9.4+ et 1.8.8+ depuis le 27 mars 2009.

Les branches 1.6 et 1.7 ne sont plus maintenues.

Documentation

Gestion détaillée du document

    le 03 avril 2009
    version initiale.