S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 janvier 2012
N^o CERTA-2011-AVI-027

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilités dans Moodle

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-027

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2011-AVI-027
Titre	Vulnérabilités dans Moodle
Date de la première version	19 janvier 2012
Date de la dernière version	-
Source(s)	Bulletins de sécurité Moodle du 17 janvier 2012
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Contournement de la politique de sécurité.

Moodle versions 2.2, 2.1 à 2.1.3+, 2.0 à 2.0.6+ et 1.9 à 1.9.15+.

Des vulnérabilités dans Moodle permettent un contournement de la politique de sécurité.

Plusieurs vulnérabilités ont été découvertes dans Moodle :

il est possible d'injecter des informations supplémentaires (par exemple des adresses) dans l'en-tête des messages électroniques ;
un utilisateur dont le compte a été effacé d'un serveur peut continuer à accéder au site tant qu'il conserve son jeton ;
dans certaines conditions particulières, les utilisateurs ayant un profil enseignant peuvent élever leurs privilèges.

Mettre Moodle à jour en version 2.2.1, 2.1.4, 2.0.7 ou 1.9.16.

Bulletins de sécurité Moodle du 17 janvier 2012 :

http://moodle.org/mod/forum/discuss.php?d=194015

http://moodle.org/mod/forum/discuss.php?d=194016

http://moodle.org/mod/forum/discuss.php?d=194017

CERTA
2012-01-19