Risque(s)
- contournement de la politique de sécurité
- atteinte à la confidentialité des données
- injection de requêtes illégitimes par rebond
Systèmes affectés
- Moodle versions antérieures à 2.3.11
- Moodle versions antérieures à 2.4.8
- Moodle versions antérieures à 2.5.4
- Moodle versions antérieures à 2.6.1
Résumé
De multiples vulnérabilités ont été corrigées dans Moodle. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de requêtes illégitimes par rebond (CSRF).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Moodle MSA-14-0001 du 20 janvier 2014
https://moodle.org/mod/forum/discuss.php?d=252414
- Bulletin de sécurité Moodle MSA-14-0002 du 20 janvier 2014
https://moodle.org/mod/forum/discuss.php?d=252415
- Bulletin de sécurité Moodle MSA-14-0003 du 20 janvier 2014
https://moodle.org/mod/forum/discuss.php?d=252416
- Référence CVE CVE-2014-0008
https://www.cve.org/CVERecord?id=CVE-2014-0008
- Référence CVE CVE-2014-0009
https://www.cve.org/CVERecord?id=CVE-2014-0009
- Référence CVE CVE-2014-0010
https://www.cve.org/CVERecord?id=CVE-2014-0010