Обновления безопасности
Назад к п.2
2.1502 Множественные уязвимости в Moodle (CVE-2021-32472 - CVE-2021-32478)
1. Описание уязвимости:
CVE-2021-32478 Уязвимость существует из-за недостаточной очистки предоставленных пользователем данных в конечной точке авторизации LTI. Удаленный злоумышленник может обманом заставить жертву перейти по специально созданной ссылке и выполнить произвольный HTML-код и код сценария в браузере пользователя в контексте уязвимого веб-сайта. CVE-2021-32472 Уязвимость существует из-за чрезмерного вывода данных приложением. Преподаватель с удаленной аутентификацией, экспортирующий форум в формат CSV, может получить CSV форумов со всех курсов. CVE-2021-32473 Уязвимость существует из-за чрезмерного вывода данных приложением. Учащийся, прошедший удаленную проверку подлинности, может просмотреть свою оценку викторины до ее выпуска с помощью веб-службы викторины. CVE-2021-32474 Уязвимость позволяет удаленному пользователю выполнять произвольные SQL-запросы в базе данных. Уязвимость существует из-за недостаточной очистки предоставленных пользователем данных в вызове XML-RPC. Удаленный администратор может отправить специально созданный запрос уязвимому приложению и выполнить произвольные команды SQL в базе данных приложения. CVE-2021-32475 Уязвимость существует из-за недостаточной очистки предоставленных пользователем данных в рамках идентификационных номеров, отображаемых в отчете об оценке викторины. Удаленный злоумышленник может внедрить и выполнить произвольный HTML-код и код сценария в браузере пользователя в контексте уязвимого веб-сайта. CVE-2021-32476 Уязвимость существует из-за недостаточной проверки введенных пользователем данных в области черновых файлов. Удаленный злоумышленник может передать приложению специально созданные входные данные и выполнить атаку типа «отказ в обслуживании» (DoS). CVE-2021-32477 Уязвимость существует из-за того, что последний раз, когда пользователь заходил в мобильное приложение, отображается на странице его профиля. Удаленный злоумышленник может получить несанкционированный доступ к конфиденциальной информации в системе.Идентификатор Банка данных угроз безопасности информации ФСТЭК России: BDU:2021-02734, BDU:2021-02735, BDU:2021-02736, BDU:2021-02737, BDU:2021-02738, BDU:2021-02740, BDU:2021-027392. Возможные меры по устранению уязвимости
Отказать от использования Moodle или - установить обновления безопасности для пакета: moodleУстановка обновлений возможна следующими способами:а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:# yum updateПосле вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
- скачать обновленный пакет (с зависимостями при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/moodle-3.11-0.1.el7.noarch.rpm
Проверить целостность и подлинность пакета по инструкцииУстановить скачанный пакет(ы) командой:# yum localinstall *.rpmПосле вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Дата последнего изменения: 08.09.2021
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.