S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 août 2011
N° CERTA-2011-AVI-431
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Moodle

Gestion du document

Référence CERTA-2011-AVI-431
Titre Vulnérabilités dans Moodle
Date de la première version09 août 2011
Date de la dernière version09 août 2011
Source(s) Bulletin de sécurité Moodle MSA-11-0021 du 08 aout 2011
Bulletin de sécurité Moodle MSA-11-0022 du 08 aout 2011

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Moodle versions 2.0.x antérieures à 2.0.4 ;
  • Moodle versions 2.1.x antérieures à 2.1.1.

Résumé

Deux vulnérabilités permettant de contourner la politique de sécurité ont été corrigées dans le logiciel Moodle.

Description

Deux vulnérabilités ont été corrigées dans Moodle :

  • une erreur dans le Web Service d'affectation des rôles permet d'ajouter des rôles sans avoir à valider les conditions d'accès ;
  • une erreur dans la gestion des permissions d'accès permet de modifier la configuration d'un cours.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 août 2011
    version initiale.