Fedora 21：moodle-2.7.5-1.fc21 (2015-1751)

medium Nessus 插件 ID 81360

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

以下安全通知现在已经被公开：

====================================================================== ======== MSA-15-0001：LTI 模块中的访问检查不充分

描述：在 AJAX 后端脚本中缺少功能检查，可允许任何注册用户搜索已注册工具的列表问题摘要：mod/lti/ajax.php 安全问题严重性/风险：次要受影响的版本：2.8 至 2.8.1、2.7 至 2.7.3、2.6 至 2.6.6 以及更早的不受支持的版本修复的版本：2.8.2、2.7.4 和 2.6.7 报告者：Petr Skoda 问题编号：MDL-47920 CVE 标识符：
CVE-2015-0211 变更（主）：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-47920

====================================================================== ======== MSA-15-0002：课程请求等待批准页面中的 XSS 漏洞

描述：课程请求等待批准页面上的课程摘要未经转义即显示给管理器，并且可用于 XSS 攻击问题摘要：课程请求等待批准页面中的 XSS（权限升级？）严重性/风险：严重受影响的版本：2.8 至 2.8.1、2.7 至 2.7.3、2.6 至 2.6.6 以及更早的不受支持的版本修复的版本：2.8.2、2.7.4 和 2.6.7 报告者：Skylar Kelty 问题编号：MDL-48368 变通方案：仅将权限 Moodle/course:request 授予受信任用户 CVE 标识符：CVE-2015-0212 变更（主）：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48368

====================================================================== ======== MSA-15-0003：Glossary 模块中可能存在 CSRF

描述：Glossary 模块中的两个文件缺少会话密钥检查，可能允许跨站请求伪造问题摘要：
Glossary 模块中存在多种 CSRF 严重性/风险：严重受影响的版本：2.8 至 2.8.1、2.7 至 2.7.3、2.6 至 2.6.6 以及更早的不受支持的版本修复的版本：2.8.2、2.7.4 和 2.6.7 报告者：Ankit Agarwal 问题编号：MDL-48106 CVE 标识符：CVE-2015-0213 变更（主）：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48106

====================================================================== ======== MSA-15-0004：通过 Web 服务中的消息传递函数发生信息泄漏

描述：即使站点上已禁用消息传递，也可以通过 Web 服务访问与消息传递相关的函数（如人员搜索）问题摘要：消息外部函数未检查是否启用了消息传递严重性/风险：次要受影响的版本：2.8 至 2.8.1、2.7 至 2.7.3、2.6 至 2.6.6 以及更早的不受支持的版本修复的版本：2.8.2、2.7.4 和 2.6.7 报告者：Juan Leyva 问题编号：MDL-48329 变通方案：禁用 Web 服务或禁用各个与消息相关的函数 CVE 标识符：
CVE-2015-0214 变更（主）：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48329

====================================================================== ======== MSA-15-0005：Web 服务的日历函数中的访问检查不充分

描述：通过 Web 服务可能获得关于用户没有足够权限查看的日历事件的信息问题摘要：calendar/externallib.php 缺少 self::validate_context($context)；严重性/风险：次要受影响的版本：2.8 至 2.8.1、2.7 至 2.7.3、2.6 至 2.6.6 以及更早的不受支持的版本修复的版本：2.8.2、2.7.4 和 2.6.7 报告者：Petr Skoda 问题编号：MDL-48017 CVE 标识符：CVE-2015-0215 变更（主）：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48017

====================================================================== ======== MSA-15-0006：课程模块分级功能缺少 XSS 位掩码

描述：能够在课程模块中进行分级的用户未被报告为具有 XSS 风险的用户，但是会显示他们的反馈且不进行清除问题摘要：mod/lesson:grade 功能缺少 RISK_XSS，但是通过 noclean=true 显示论文反馈严重性/风险：次要受影响的版本：2.8 至 2.8.1 修复的版本：
2.8.2 报告者：Damyon Wiese 问题编号：MDL-48034 CVE 标识符：
CVE-2015-0216 变更（主）：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48034

====================================================================== ======== MSA-15-0007：多媒体过滤器中可能存在 ReDoS

描述：可能在过滤器中使用了非最佳正则表达式，从而产生额外的服务器负载或使特定页面不可用问题摘要：多媒体过滤器中存在 ReDOS 严重性/风险：严重受影响的版本：2.8 至 2.8.1、2.7 至 2.7.3、2.6 至 2.6.6 以及更早的不受支持的版本修复的版本：2.8.2、2.7.4 和 2.6.7 报告者：Nicolas Martignoni 问题编号：MDL-48546 变通方案：禁用多媒体过滤器 CVE 标识符：CVE-2015-0217 变更（主）：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-48546

====================================================================== ======== MSA-15-0008：通过 Shibboleth 认证插件强制注销

描述：即使未通过 Shibboleth 进行认证也可能强制发出请求以注销用户问题摘要：通过 auth/shibboleth/logout.php 强制注销严重性/风险：严重受影响的版本：2.8 至 2.8.1、2.7 至 2.7.3、2.6 至 2.6.6 以及更早的不受支持的版本修复的版本：2.8.2、2.7.4 和 2.6.7 报告者：Petr Skoda 问题编号：MDL-47964 变通方案：拒绝对 webserver 配置中文件 auth/shibboleth/logout.php 的访问 CVE 标识符：
CVE-2015-0218 变更（主）：
http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-47964

====================================================================== ========

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。