Alert GCSA-21105 - Aggiornamento di sicurezza per Moodle e relativo modulo Shibboleth

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1






******************************************************************

alert ID: GCSA-21105
data: 23 settembre 2021
titolo: Aggiornamento di sicurezza per Moodle e modulo Shibboleth

******************************************************************

:: Descrizione del problema

Sono state rilasciate nuove versioni della piattaforma di e-learning Moodle
che risolvono alcune vulnerabilita' di sicurezza, di cui una interessa anche
il modulo Shibboleth di Moodle.



Maggiori informazioni sono disponibili alla sezione "Riferimenti".


:: Software interessato

Moodle versioni precedenti alla 3.11.2, 3.10.6 e 3.9.9


:: Impatto

Session hijack (sul modulo Shibboleth)
Information Disclosure
Arbitrary File Read
Authentication Bypass
Security Control Bypass


:: Soluzioni

Aggiornare alle versioni piu' recenti

Moodle 3.11.2, 3.10.6 e 3.9.9
https://docs.moodle.org/311/en/Upgrading
https://download.moodle.org/releases/latest/


:: Riferimenti

Moodle - Annunci di sicurezza
https://moodle.org/security/
https://moodle.org/mod/forum/discuss.php?d=427107
https://moodle.org/mod/forum/discuss.php?d=427106
https://moodle.org/mod/forum/discuss.php?d=427105
https://moodle.org/mod/forum/discuss.php?d=427104
https://moodle.org/mod/forum/discuss.php?d=427103

CSIRT Italia
https://csirt.gov.it/contenuti/aggiornamenti-moodle-al01-210921-csirt-ita

Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40691
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40692
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40693
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40694
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40695





GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert





-----BEGIN PGP SIGNATURE-----

iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYUxvCwAKCRDBnEyTZRJg
QpxRAJ40/aWtvFuvTXmB/WflSb2oMathxwCfViKuWhsMBJzKLhBCvfx0mZ100b8=
=ENaZ
-----END PGP SIGNATURE-----