Moodle 4.0.5, 3.11.11 и 3.9.18 теперь доступны
Moodle 4.0.5, 3.11.11 и 3.9.18 теперь доступны через обычные открытые каналы загрузки; https://download.moodle.org и Git.
Чтобы ваш сайт не оставался уязвимым, мы настоятельно рекомендуем вам как можно скорее обновить его до последней версии Moodle. Если вы не можете выполнить обновление, пожалуйста, внимательно проверьте приведенный ниже список и исправьте свою собственную систему или отключите эти функции.
Примечания к выпуску
Также обратите внимание, что 3.11.11 будет последним выпуском с общей поддержкой Moodle 3.11, однако он продолжит поддерживаться для исправлений безопасности до ноября 2023 года.Исправления и улучшения безопасности
Помимо исправлений ошибок, улучшений производительности и полировки, есть исправления безопасности, о которых вам следует знать.Чтобы ваш сайт не оставался уязвимым, мы настоятельно рекомендуем вам как можно скорее обновить его до последней версии Moodle. Если вы не можете выполнить обновление, пожалуйста, внимательно проверьте приведенный ниже список и исправьте свою собственную систему или отключите эти функции.
================================================== =============================
Исправления безопасности
================================================== =============================
MSA-22-0028: Применить вышестоящее исправление безопасности к библиотеке VideoJS, чтобы устранить риск XSS.
Описание: к стороннему поставщику было применено исправление безопасности основной ветки разработки.
Библиотека VideoJS, включенная в Moodle, в затронутых версиях
риском XSS.
Сводка проблемы: примените исправление безопасности вышестоящего уровня к библиотеке VideoJS, чтобы удалить
XSS-риск
Серьезность/риск: серьезный
Затронутые версии: с 3.11 по 3.11.10, с 3.9 по 3.9.17 и более ранние версии не поддерживаются.
версии
Исправлены версии: 3.11.11 и 3.9.18
Сообщил: Винсент
Выпуск №: MDL-75278
Идентификатор CVE: CVE-2021-23414 (восходящий поток)
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75278
================================================== =============================
MSA-22-0029: Восстановление курса — токен CSRF передается в URL-адресе перенаправления курса
Описание. Токен CSRF пользователя (сеансовый ключ Moodle) был без необходимости
включены в URL-адрес при перенаправлении на курс, который они
только что восстановили.
Сводка проблемы: восстановление курса — токен CSRF, переданный в URL-адресе перенаправления курса
Серьезность/риск: незначительный
Затронутые версии: с 4.0 по 4.0.4, с 3.11 по 3.11.10, с 3.9 по 3.9.17 и более ранние версии.
неподдерживаемые версии
Исправлены версии: 4.0.5, 3.11.11 и 3.9.18.
Сообщил: Майкл Хокинс
Номер выпуска: MDL-75862
Идентификатор CVE: CVE-2022-45149.
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-75862
================================================== =============================
MSA-22-0030: Отраженный риск XSS в инструменте политики
Описание. Обратный URL-адрес в инструменте политики требовал дополнительной очистки. для предотвращения отраженного риска XSS.
Краткое описание проблемы: Отраженный риск XSS в инструменте политики
Серьезность/риск: серьезный
Затронутые версии: с 4.0 по 4.0.4, с 3.11 по 3.11.10, с 3.9 по 3.9.17 и более ранние версии.
неподдерживаемые версии
Исправлены версии: 4.0.5, 3.11.11 и 3.9.18.
Сообщил: Эрик Меррилл
Выпуск №: MDL-76091
Идентификатор CVE: CVE-2022-45150
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-76091
================================================== =============================
MSA-22-0031: Сохранение XSS возможно в некоторых полях «социального» профиля пользователя.
Описание: тип поля профиля пользователя «социальный» выполнено недостаточное экранирование некоторых полей, что приводит к хранимому риску XSS.
Краткое описание проблемы: возможно сохранение XSS в некоторых полях «социального» профиля пользователя.
Серьезность/риск: серьезный
Затронутые версии: от 4.0 до 4.0.4 и от 3.11 до 3.11.10.
Исправлены версии: 4.0.5 и 3.11.11
Докладчик: Бернардо Кабрал
Выпуск №: MDL-76131
Обходной путь: Обновите поля «социального» профиля пользователя, чтобы их видимость установлена на «невидимая», пока патч не будет применяемый.
Идентификатор CVE: CVE-2022-45151
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-76131
================================================== =============================
MSA-22-0032: Слепой риск SSRF в библиотеке поставщика LTI
Описание. Библиотека провайдера LTI Moodle не использовала библиотеку Moodle.
встроенный помощник cURL, что приводило к слепому риску SSRF.
Сводка проблемы: слепой риск SSRF в библиотеке поставщика LTI
Серьезность/риск: серьезный
Затронутые версии: с 4.0 по 4.0.4, с 3.11 по 3.11.10, с 3.9 по 3.9.17 и более ранние версии.
неподдерживаемые версии
Исправлены версии: 4.0.5, 3.11.11 и 3.9.18.
Сообщили: Rekter0 и Холм
Выпуск №: MDL-71920
Идентификатор CVE: CVE-2022-45152
Изменения (мастер): http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-71920
================================================== =============================
Похожие публикации
Нет комментариев