Alert-GCSA-21012 - Aggiornamento di sicurezza per Moodle
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-21012
Data: 28 Gennaio 2021
Titolo: Aggiornamento di sicurezza per Moodle
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle,
con le quali vengono risolte alcune vulnerabilita'.
MSA-21-0001: Search input template insufficiently escaped search queries
MSA-21-0002: Grade information disclosure in grade's external fetch functions
MSA-21-0003: Client side denial of service via personal message
MSA-21-0004: Stored XSS possible via TeX notation filter
MSA-21-0005: Arbitrary PHP code execution by site admins via Shibboleth configuration
Maggiori informazioni sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
Moodle versioni precedenti alla 3.10.1
Moodle versioni precedenti alla 3.9.4
Moodle versioni precedenti alla 3.8.7
Moodle versioni precedenti alla 3.5.16
:: Impatto
Cross Site Scripting
Denial of Service
Esecuzione di codice arbitrario
Bypass di restrizioni di sicurezza
:: Soluzioni
Aggiornare alle versioni piu' recenti
Moodle 3.10.1
Moodle 3.9.4
Moodle 3.8.7
Moodle 3.5.16
https://download.moodle.org/releases/latest/
:: Riferimenti
Moodle - Annunci di sicurezza
https://moodle.org/security/
https://moodle.org/mod/forum/discuss.php?d=417166
https://moodle.org/mod/forum/discuss.php?d=417167
https://moodle.org/mod/forum/discuss.php?d=417168
https://moodle.org/mod/forum/discuss.php?d=417170
https://moodle.org/mod/forum/discuss.php?d=417171
Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20183
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20184
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20185
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20186
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20187
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iD8DBQFgEr+1wZxMk2USYEIRAuf2AKC5q62tWsLDuOzdXHaxa/bPBSGY6gCfQMzX
DqFBez0N90ypkqh2F5mcSSI=
=iPix
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-21012
Data: 28 Gennaio 2021
Titolo: Aggiornamento di sicurezza per Moodle
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle,
con le quali vengono risolte alcune vulnerabilita'.
MSA-21-0001: Search input template insufficiently escaped search queries
MSA-21-0002: Grade information disclosure in grade's external fetch functions
MSA-21-0003: Client side denial of service via personal message
MSA-21-0004: Stored XSS possible via TeX notation filter
MSA-21-0005: Arbitrary PHP code execution by site admins via Shibboleth configuration
Maggiori informazioni sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
Moodle versioni precedenti alla 3.10.1
Moodle versioni precedenti alla 3.9.4
Moodle versioni precedenti alla 3.8.7
Moodle versioni precedenti alla 3.5.16
:: Impatto
Cross Site Scripting
Denial of Service
Esecuzione di codice arbitrario
Bypass di restrizioni di sicurezza
:: Soluzioni
Aggiornare alle versioni piu' recenti
Moodle 3.10.1
Moodle 3.9.4
Moodle 3.8.7
Moodle 3.5.16
https://download.moodle.org/releases/latest/
:: Riferimenti
Moodle - Annunci di sicurezza
https://moodle.org/security/
https://moodle.org/mod/forum/discuss.php?d=417166
https://moodle.org/mod/forum/discuss.php?d=417167
https://moodle.org/mod/forum/discuss.php?d=417168
https://moodle.org/mod/forum/discuss.php?d=417170
https://moodle.org/mod/forum/discuss.php?d=417171
Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20183
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20184
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20185
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20186
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20187
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iD8DBQFgEr+1wZxMk2USYEIRAuf2AKC5q62tWsLDuOzdXHaxa/bPBSGY6gCfQMzX
DqFBez0N90ypkqh2F5mcSSI=
=iPix
-----END PGP SIGNATURE-----