Доступны версии Moodle 4.0.4, 3.11.10 и 3.9.17
Moodle 4.0.4, 3.11.10 и 3.9.17 теперь доступны по обычным открытым каналам загрузки; download.moodle.org и Git. Примечания к выпуску для каждой версии можно найти по следующим ссылкам:
===============================================================================
Исправления безопасности
===============================================================================
MSA-22-0023: Сохраненные XSS и риски отказа в обслуживании страницы из-за рекурсивного рендеринга в помощниках по шаблону Mustache
Описание. Рекурсивный рендеринг помощников шаблонов Mustache, содержащих пользовательский ввод, в некоторых случаях может привести к XSS-риску или сбою загрузки страницы.
Краткое описание проблемы: сохраненные XSS и риски отказа в обслуживании страницы из-за рекурсивного рендеринга в помощниках по шаблону Mustache
Серьезность/риск: серьезный
Затронутые версии: с 4.0 по 4.0.3, с 3.11 по 3.11.9, с 3.9 по 3.9.16 и более ранние неподдерживаемые версии.
Исправлены версии: 4.0.4, 3.11.10 и 3.9.17.
Докладчик: Адам Робертс, NCC Group
Выпуск №: MDL-68066
Идентификатор CVE: CVE-2022-40313
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-68066
===============================================================================
MSA-22-0024: Риск удаленного выполнения кода при восстановлении поврежденного файла резервной копии из Moodle 1.9.
Описание. Выявлен риск удаленного выполнения кода при восстановлении файлов резервных копий, происходящих из Moodle 1.9.
Краткое описание проблемы: риск удаленного выполнения кода при восстановлении файла резервной копии с искаженным форматом из Moodle 1.9
Серьезность/риск: серьезный
Затронутые версии: с 4.0 по 4.0.3, с 3.11 по 3.11.9, с 3.9 по 3.9.16 и более ранние неподдерживаемые версии.
Исправлены версии: 4.0.4, 3.11.10 и 3.9.17.
Сообщил: Пол Холден
Выпуск №: MDL-75405
Идентификатор CVE: CVE-2022-40314.
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75405
===============================================================================
MSA-22-0025: Незначительный риск внедрения кода SQL при просмотре пользователями с правами администратора
Описание. На странице администрирования сайта «просмотреть список пользователей» был обнаружен ограниченный риск внедрения кода SQL.
Краткое описание проблемы: незначительный риск внедрения SQL-кода при просмотре пользователей с правами администратора
Серьезность/риск: незначительный
Затронутые версии: с 4.0 по 4.0.3, с 3.11 по 3.11.9, с 3.9 по 3.9.16 и более ранние неподдерживаемые версии.
Исправлены версии: 4.0.4, 3.11.10 и 3.9.17.
Сообщил: Винсент
Выпуск №: MDL-75283
Идентификатор CVE: CVE-2022-40315
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75283
===============================================================================
MSA-22-0026: Нет фильтрации групп в отчете о попытках активности H5P
Описание. Отчет о попытках активности H5P не фильтруется по группам, что в режиме отдельных групп может раскрывать учителям, не осуществляющим редактирование, информацию о попытках/пользователях в группах, к которым у них не должно быть доступа.
Сводка проблемы: нет фильтрации групп в отчете о попытках активности H5P
Серьезность/риск: незначительный
Затронутые версии: с 4.0 по 4.0.3, с 3.11 по 3.11.9, с 3.9 по 3.9.16 и более ранние неподдерживаемые версии.
Исправлены версии: 4.0.4, 3.11.10 и 3.9.17.
Докладчик: Яри Вилкман и Бьорн Тейстунг
Номер выпуска: MDL-71662 и MDL-72012
Обходной путь: доступ к этой функции можно отозвать, удалив возможность mod/h5pactivity:reviewwattempts у соответствующих пользователей до тех пор, пока не будет применено исправление.
Идентификатор CVE: CVE-2022-40316
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-71662
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-72012
===============================================================================
===============================================================================
Исправления безопасности
===============================================================================
MSA-22-0023: Сохраненные XSS и риски отказа в обслуживании страницы из-за рекурсивного рендеринга в помощниках по шаблону Mustache
Описание. Рекурсивный рендеринг помощников шаблонов Mustache, содержащих пользовательский ввод, в некоторых случаях может привести к XSS-риску или сбою загрузки страницы.
Краткое описание проблемы: сохраненные XSS и риски отказа в обслуживании страницы из-за рекурсивного рендеринга в помощниках по шаблону Mustache
Серьезность/риск: серьезный
Затронутые версии: с 4.0 по 4.0.3, с 3.11 по 3.11.9, с 3.9 по 3.9.16 и более ранние неподдерживаемые версии.
Исправлены версии: 4.0.4, 3.11.10 и 3.9.17.
Докладчик: Адам Робертс, NCC Group
Выпуск №: MDL-68066
Идентификатор CVE: CVE-2022-40313
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-68066
===============================================================================
MSA-22-0024: Риск удаленного выполнения кода при восстановлении поврежденного файла резервной копии из Moodle 1.9.
Описание. Выявлен риск удаленного выполнения кода при восстановлении файлов резервных копий, происходящих из Moodle 1.9.
Краткое описание проблемы: риск удаленного выполнения кода при восстановлении файла резервной копии с искаженным форматом из Moodle 1.9
Серьезность/риск: серьезный
Затронутые версии: с 4.0 по 4.0.3, с 3.11 по 3.11.9, с 3.9 по 3.9.16 и более ранние неподдерживаемые версии.
Исправлены версии: 4.0.4, 3.11.10 и 3.9.17.
Сообщил: Пол Холден
Выпуск №: MDL-75405
Идентификатор CVE: CVE-2022-40314.
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75405
===============================================================================
MSA-22-0025: Незначительный риск внедрения кода SQL при просмотре пользователями с правами администратора
Описание. На странице администрирования сайта «просмотреть список пользователей» был обнаружен ограниченный риск внедрения кода SQL.
Краткое описание проблемы: незначительный риск внедрения SQL-кода при просмотре пользователей с правами администратора
Серьезность/риск: незначительный
Затронутые версии: с 4.0 по 4.0.3, с 3.11 по 3.11.9, с 3.9 по 3.9.16 и более ранние неподдерживаемые версии.
Исправлены версии: 4.0.4, 3.11.10 и 3.9.17.
Сообщил: Винсент
Выпуск №: MDL-75283
Идентификатор CVE: CVE-2022-40315
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75283
===============================================================================
MSA-22-0026: Нет фильтрации групп в отчете о попытках активности H5P
Описание. Отчет о попытках активности H5P не фильтруется по группам, что в режиме отдельных групп может раскрывать учителям, не осуществляющим редактирование, информацию о попытках/пользователях в группах, к которым у них не должно быть доступа.
Сводка проблемы: нет фильтрации групп в отчете о попытках активности H5P
Серьезность/риск: незначительный
Затронутые версии: с 4.0 по 4.0.3, с 3.11 по 3.11.9, с 3.9 по 3.9.16 и более ранние неподдерживаемые версии.
Исправлены версии: 4.0.4, 3.11.10 и 3.9.17.
Докладчик: Яри Вилкман и Бьорн Тейстунг
Номер выпуска: MDL-71662 и MDL-72012
Обходной путь: доступ к этой функции можно отозвать, удалив возможность mod/h5pactivity:reviewwattempts у соответствующих пользователей до тех пор, пока не будет применено исправление.
Идентификатор CVE: CVE-2022-40316
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-71662
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-72012
===============================================================================
Похожие публикации
Нет комментариев