 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 23 décembre
2011
No CERTA-2011-AVI-717 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
Moodle
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-717 |
| Titre |
Vulnérabilités
dans Moodle |
| Date de la première
version |
23 décembre 2011 |
| Date de la dernière
version |
- |
| Source |
Bulletins de
sécurité Moodle MSA-11-0042
à MSA-11-0054 du 06 décembre
2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- atteinte à la confidentialité des
données.
Moodle 1.x et 2.x.
Plusieurs vulnérabilités dans Moodle permettent
le contournement de la politique de sécurité et
la divulgation de données.
Plusieurs vulnérabilités affectent Moodle :
- le nom du compte d'un utilisateur est affiché par
le wiki au lieu du nom à afficher ;
- le calendrier permet la redirection vers une adresse hors
du site Moodle ;
- des jetons d'authentification peuvent être lus sans
droit ;
- plusieurs fonctionnalités ne restreignent pas
correctement les accès ;
- le changement de mot de passe peut se faire en utilisant
une communication non protégée ;
- des injections sont possibles dans les en-têtes
HTTP ;
- la politique de mot de passe peut conduire à des
mots de passe vides (longueur nulle) ;
- le masquage des mèls peut être
contourné ;
- des vulnérabilités affectent la sauvegarde
et l'impression ;
- les commandes en ligne peuvent être inutilisables
dans certaines conditions.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 23 décembre 2011
- version initiale.
CERTA
2012-01-04
|
|
)
