Allgemein
scipID: 75650 Betroffen: Moodle bis 2.5.9/2.6.6/2.7.3/2.8.1 Veröffentlicht: 01.06.2015 Risiko: problematisch Erstellt: 02.06.2015 Eintrag: 71.4% komplett
Beschreibung
Eine Schwachstelle wurde in Moodle bis 2.5.9/2.6.6/2.7.3/2.8.1 gefunden. Sie wurde als problematisch eingestuft. Davon betroffen ist eine unbekannte Funktion der Datei login/token.php der Komponente Password Change Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Policy) ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Schwachstelle wurde am 01.06.2015 veröffentlicht. Die Identifikation der Schwachstelle findet als statt. Der Angriff kann über das Netzwerk passieren. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID (Fedora 20 : moodle-2.6.10-1.fc20 (2015-4530)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet. Ein Upgrade auf die Version 2.6.7, 2.7.4 oder 2.8.2 vermag dieses Problem zu beheben. Die Einträge , , und sind sehr ähnlich.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND)
CPE
Exploiting
Klasse: Erweiterte Rechte Lokal: Nein Remote: Ja Verfügbarkeit: Nein Nessus ID: Nessus Name: Fedora 20 : moodle-2.6.10-1.fc20 (2015-4530) Nessus File: fedora_2015-4530.nasl Nessus Family: Fedora Local Security Checks
Gegenmassnahmen
Empfehlung: Upgrade Status: Offizieller Fix 0-Day Time: 0 Tage seit gefunden Upgrade: Moodle 2.6.7/2.7.4/2.8.2
Timeline
01.06.2015 | Advisory veröffentlicht 02.06.2015 | 02.06.2015 |
Quellen
CVE: CVE-2015-2272 Siehe auch: , , ,
Bang Roy Han