Risque(s)
- contournement de la politique de sécurité
- atteinte à la confidentialité des données
- injection de code indirecte à distance
- injection de requêtes illégitimes par rebond
Systèmes affectés
- Moodle versions antérieures à 2.6.2
- Moodle versions antérieures à 2.5.5
- Moodle versions antérieures à 2.4.9
Résumé
De multiples vulnérabilités ont été corrigées dans Moodle. Certaines d'entre elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Moodle MSA-14-0004 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256416
- Bulletin de sécurité Moodle MSA-14-0005 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256417
- Bulletin de sécurité Moodle MSA-14-0006 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256418
- Bulletin de sécurité Moodle MSA-14-0007 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256419
- Bulletin de sécurité Moodle MSA-14-0008 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256420
- Bulletin de sécurité Moodle MSA-14-0009 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256421
- Bulletin de sécurité Moodle MSA-14-0010 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256422
- Bulletin de sécurité Moodle MSA-14-0011 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256423
- Bulletin de sécurité Moodle MSA-14-0012 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256424
- Bulletin de sécurité Moodle MSA-14-0013 du 17 mars 2014
https://moodle.org/mod/forum/discuss.php?d=256425
- Référence CVE CVE-2014-0127
https://www.cve.org/CVERecord?id=CVE-2014-0127
- Référence CVE CVE-2014-0122
https://www.cve.org/CVERecord?id=CVE-2014-0122
- Référence CVE CVE-2014-0123
https://www.cve.org/CVERecord?id=CVE-2014-0123
- Référence CVE CVE-2014-0124
https://www.cve.org/CVERecord?id=CVE-2014-0124
- Référence CVE CVE-2014-0125
https://www.cve.org/CVERecord?id=CVE-2014-0125
- Référence CVE CVE-2014-0126
https://www.cve.org/CVERecord?id=CVE-2014-0126
- Référence CVE CVE-2014-0129
https://www.cve.org/CVERecord?id=CVE-2014-0129