[Warning] Cross-Site-Scripting Schwachstelle in e-Learning Plattform Moodle
Matthias Fraidl
fraidl at cert.at
Wed Aug 22 15:05:55 CEST 2012
22. August 2012
CERT.at ersucht um Beachtung der folgenden Meldung.
Aufgrund der hohen Verbreitung der e-Learning Plattform Moodle[1] haben
wir uns entschlossen folgende Warnung herauszugeben.
Beschreibung
Wie z.B. auch SecurityFocus berichtet[2], wurde eine Sicherheitslücke in
der e-Learning Plattform Moodle entdeckt, welche zumindest in der
Version 2.2.1 existiert. Es handelt sich um eine Cross-Site-Scripting
(XSS) Schwachstelle, welche u.a. zum Stehlen von Cookies genützt werden
kann oder um (meist bösartige) Scripts von externen Seiten nachzuladen.
Auswirkungen
Ein Angreifer könnte durch das Ausnutzen dieser Schwachstelle die
Cookies eines angemeldeten Benutzers ausspähen und unter Umständen
Administrationsrechte erlangen. Weitere Szenarien, wie z.B. das Umleiten
auf speziell präparierte Webseiten, sind auch denkbar.
Abhilfe
Die Entwickler von Moodle haben, für die mittlerweile veraltete Version
2.2.x, bereits einen Patch[3] veröffentlicht (das aktuelle
stable-Release von Moodle trägt die Versionsnummer 2.3.1).
Hinweis
Generell empfiehlt CERT.at, wo möglich ein Update von veralteten
Versionen (<=2.2.x) auf das aktuellste stable-Release.
__________________________________________________________________
References
1. http://moodle.org/
2. http://www.securityfocus.com/archive/1/523949
3. http://download.moodle.org/
--
// CERT Austria
// Matthias Fraidl <fraidl at cert.at>
// T: +43 1 5056416 718
// http://www.cert.at/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 900 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120822/cab2ebeb/attachment.sig>
More information about the Warning
mailing list