Saludos nuevamente.
Durante el día de ayer y lo que va del día de hoy se han publicado varias noticias de seguridad en dos de los sitios a los que hago referencia: Hispasec – Una al Día y We Live Security. Noticias que debemos leer y analizar muy profundamente, dado que este tema de la seguridad se ha vuelto extremadamente importante en los últimos tiempos.
Por ello les voy a reproducir las 6 noticias que, a mi juicio, tienen una mayor importancia. La primera tiene que ver con Moodle, CMS muy utilizado en centro de enseñanza como apoyo a la docencia:
Corregidas dos vulnerabilidades en Moodle
martes, 19 de enero de 2016
Moodle ha publicado dos alertas de seguridad en las que se corrigen otras tantas vulnerabilidades, que podrían permitir realizar ataques de cross-site scripting o acceder a cursos ocultos para el usuario. Se ven afectadas las ramas 3.0, 2.9, 2.8 y 2.7.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
El anuncio de seguridad MSA-16-0001, con gravedad menor y CVE-2016-0724, reside en que los servicios web «core_enrol_get_course_enrolment_methods» y «enrol_self_get_instance_info» no comprueban los permisos de usuario para acceder a cursos ocultos.
Por otra parte, el boletín MSA-16-0002 se refiere a una vulnerabilidad de cross-site scripting, considerada como seria y con CVE-2016-0725, en la cadena de búsqueda en la interfaz de administración de cursos.
Las versiones 3.0.2, 2.9.4, 2.8.10 y 2.7.12 solucionan ambas vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.
Más información:
Security Announcements
Antonio Ropero
Twitter:@aropero
