Release Zeitpunkt: Noch nicht veröffentlicht

Highlights

• MDL-20591 - IMS Common Cartridge import (requires enabling in Site Administration > Miscellaneous > Experimental)
• MDL-13049 - Workshop module finally pushes grades into Gradebook during Synchronize legacy grades procedure
• Miscellaneous Workshop module fixes (MDL-20668, MDL-7218, MDL-20827)

Sicherheitsprobleme

Diese Version enthält zahlreiche Verbesserungen hinsichtlich Sicherheit und Persönlichkeitsschutz, und zwar bezogen auf die Handhabung von Nutzerdaten und Passworten bei der Sicherung von Moodle-Kursen, MDL-20851. (Bitte beachten Sie, dass MDL-20851 und alle nachfolgenden Sicherheitsmeldungen aktuell im Moodle-Tracker auf die Stufe "security" gesetzt und deswegen im Zugang eingeschränkt sind).

• MDL-20838 - Passworte werden ab sofort nicht mehr in die Kurssicherungen übernommen, auch wenn ein Kurs zusammen mit den Nutzerdaten gesichert wird.

Falls jemand trotzdem die Passworte wirklich mitsichern muss (dies wäre der seltene Fall, dass z.B. eine Kurssicherung zusammen mit den Nutzerdaten in einer anderen Moodle-Instanz wiederhergestellt werden muss), so kann vorübergehend der Parameter $CFG->includeuserpasswordsinbackups in die config.php hinzugefügt werden.

• MDL-20846 - Restore has been fixed to cope with missing user password hashes in backups containing new user data. It will set the password to a special value that prevents login. The next time that user tries to log in with their username on this new site they get an explanation and are led through the standard password recovery process.
• MDL-20844 - Zukünftig werden beim Sichern die Kurs- und Gruppenzugangsschlüssel (course+group enrolment keys) nicht mehr übernommen, außer dass 'includecoursepasswordsinbackup' gesetzt ist. Stattdessen wird eine Markierung eingefügt, um zu zeigen, dass an dieser Stelle vorher ein Schlüsselwort gestanden hat.
• MDL-20866 - Restore is fixed to cope with missing course+group enrolment keys. The restore routine will now inform the user about it and ask them to type in new keys.
• MDL-18807 - To greatly reduce the risk of password theft, a password salt is set in config.php when installing 1.9.7 and for upgrades, a notification message strongly recommends admins to set a password salt. In addition, the security overview report gives a warning if no password salt has been set.
• MDL-20834 - A new capability moodle/backup:userinfo allows admins to choose whether teachers can include user data in a course backup. The capability is allowed for the default admin role only. The security overview report warns of roles with the capability allowed.
• MDL-20849 - We have implemented a new capability to allow teachers to restore user data (including creation of new users if required), called moodle/restore:userinfo. Not allowed by default, as above.
• MDL-20854 - To remove possible passwords hidden in existing backups, we have implemented a cleanup script to process existing backup files in moodledata and delete all password hashes from them.
• MDL-18006 - To improve password quality and reduce the chance of md5 lookup attack, the password policy is enabled by default in new installs, and switched on during upgrade to 1.9.7.
• MDL-20853 - To protect sites from old backups that are not accessible to Moodle, after upgrading to 1.9.7, admins are prompted to change their password on next login.
• MDL-19608 - Zur Unterstützung von Admins, die eine Passwortänderung für alle Nutzer/innen erzwingen möchten, ist eine neue Option "Passwortänderung" in den Bulk user actions verfügbar.

Neues Sprachpaket

• Dhivehi - Ahmed Shareef, Moosa Ali, Amir Hussein

(Weitere Angaben in: Translation credits.)

Weitere Hinweise

• Moodle 1.9.6 release notes