๐ Moodle bis 2.6.11/2.7.9/2.8.7/2.9.1 Lesson Module erweiterte Rechte
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 81046
Betroffen: Moodle bis 2.6.11/2.7.9/2.8.7/2.9.1
Veröffentlicht: 22.02.2016
Risiko: problematisch
Erstellt: 23.02.2016
Eintrag: 68.8% komplett
Beschreibung
In Moodle bis 2.6.11/2.7.9/2.8.7/2.9.1 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Das betrifft eine unbekannte Funktion der Komponente Lesson Module. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 22.02.2016 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2015-5264 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 85995 (FreeBSD : moodle — multiple vulnerabilities (c2fcbec2-5daa-11e5-9909-002590263bf5)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet.
Ein Upgrade auf die Version 2.7.8, 2.8.8 oder 2.9.2 vermag dieses Problem zu beheben. Die Einträge 81047, 81048, 81049 und 81050 sind sehr ähnlich.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:moodle:moodle:2.6.11
- cpe:/a:moodle:moodle:2.7.9
- cpe:/a:moodle:moodle:2.8.7
- cpe:/a:moodle:moodle:2.9.1
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Nessus ID: 85995
Nessus Name: FreeBSD : moodle — multiple vulnerabilities (c2fcbec2-5daa-11e5-9909-002590263bf5)
Nessus File: freebsd_pkg_c2fcbec25daa11e59909002590263bf5.nasl
Nessus Family: FreeBSD Local Security Checks
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Moodle 2.7.8/2.8.8/2.9.2
Timeline
22.02.2016 | Advisory veröffentlicht
23.02.2016 | VulDB Eintrag erstellt
23.02.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-5264 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 81047, 81048, 81049, 81050 , 81051
...