Multiples vulnérabilités dans Moodle
le 17 mars 2014
De multiples vulnérabilités ont été corrigées dans Moodle. Certaines d'entre elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Il est recommandé de mettre à jour Moodle vers une version non vulnérable.
Risque(s)
- contournement de la politique de sécurité
- atteinte à la confidentialité des données
- injection de code indirecte à distance
- injection de requêtes illégitimes par rebond
Systèmes affectés
- Moodle versions antérieures à 2.6.2
- Moodle versions antérieures à 2.5.5
- Moodle versions antérieures à 2.4.9
Documentation
- Bulletin de sécurité Moodle MSA-14-0004 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256416
- Bulletin de sécurité Moodle MSA-14-0005 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256417
- Bulletin de sécurité Moodle MSA-14-0006 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256418
- Bulletin de sécurité Moodle MSA-14-0007 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256419
- Bulletin de sécurité Moodle MSA-14-0008 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256420
- Bulletin de sécurité Moodle MSA-14-0009 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256421
- Bulletin de sécurité Moodle MSA-14-0010 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256422
- Bulletin de sécurité Moodle MSA-14-0011 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256423
- Bulletin de sécurité Moodle MSA-14-0012 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256424
- Bulletin de sécurité Moodle MSA-14-0013 du 17 mars 2014 : https://moodle.org/mod/forum/discuss.php?d=256425
- Référence CVE CVE-2014-0127 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-0122 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-0123 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-0124 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-0125 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-0126 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-0129 : cve.mitre.org/cgi-bin/cvename.cgi
- Bulletin de sécurité du CERT-FR : cert.ssi.gouv.fr/site/CERTFR-2014-AVI-128
