le 19 décembre 2013

De multiples vulnérabilités ont été corrigées dans Moodle. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Il est recommandé de mettre à jour Moodle vers une version supérieure ou égale à 2.3.10, 2.4.7, 2.5.3 ou 2.6.

Risque(s)

• contournement de la politique de sécurité
• atteinte à la confidentialité des données
• injection de code indirecte à distance

Systèmes affectés

• Moodle versions antérieures à 2.3.10
• Moodle versions antérieures à 2.4.7
• Moodle versions antérieures à 2.5.3
• Moodle versions antérieures à 2.6

Documentation

• Bulletin de sécurité Moodle MSA-13-0036 du 25 novembre 2013 : https://moodle.org/mod/forum/discuss.php?d=244479
• Bulletin de sécurité Moodle MSA-13-0037 du 25 novembre 2013 : https://moodle.org/mod/forum/discuss.php?d=244480
• Bulletin de sécurité Moodle MSA-13-0038 du 25 novembre 2013 : https://moodle.org/mod/forum/discuss.php?d=244481
• Bulletin de sécurité Moodle MSA-13-0039 du 25 novembre 2013 : https://moodle.org/mod/forum/discuss.php?d=244482
• Bulletin de sécurité Moodle MSA-13-0040 du 25 novembre 2013 : https://moodle.org/mod/forum/discuss.php?d=244483
• Référence CVE CVE-2013-4522 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-4523 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-4524 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-4525 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-6780 : cve.mitre.org/cgi-bin/cvename.cgi
Bulletin de sécurité du CERTA : www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-648

<- retour vers Bulletins de sécurité