Разработчики платформы дистанционного образования Moodle опубликовали более подробное описание 11 уязвимостей, устраненных в обновление за 9 июля. Наиболее опасная уязвимость CVE-2012-3395 была устранена в модуле "Обратной связи". Использование этой уязвимости позволяло произвести SQL-инъекцию и получить доступ к содержимому БД. Множественные XSS-уязвимости были исправлены в модуле LTI (CVE-2012-3389), разделе администрирования группы (CVE-2012-3396) и в управление списком репозиториев (CVE-2012-3393). К раскрытию закрытой информации приводили уязвимости: отображения RSS-ленты раздела "Вопрос/Ответ" (CVE-2012-3391); функциях вывода скрытых HTML-блоков (CVE-2012-3390); применения прав доступа к просмотру активности группы (CVE-2012-3397); формирования подписки на обновление разделов форума (CVE-2012-3392); системы кэширования параметров учетной записи (CVE-2012-3388). Причиной отказа от обслуживания БД портала могли стать ошибки формирования расширенного поискового запроса (CVE-2012-3398). Ошибки реализации LDAP-авторизации (CVE-2012-3394) приводили к раскрытию безопасного HTTPS-соединения, заменяя его обычным HTTP. Более подробная информация об уязвимых версиях и обновления Moodle версии 1.9.19, 2.0.10, 2.1.7, 2.2.4 и 2.3.1 доступны на веб-сайте разработчиков.
Опубликовано: 19-07-2012
Подробнее:
http://uinc.ru/news/oa654.html