Notes de mise à jour de Moodle 1.9.7 : Différence entre versions

Attention : vous consultez actuellement la documentation dédiée aux versions 1.x de Moodle. La documentation pour les versions 2.x de Moodle est consultable ici : Notes de mise à jour de Moodle 1.9.7 et celle pour Moodle 3.x est consultable là : Notes de mise à jour de Moodle 1.9.7.

 
(8 révisions intermédiaires par 2 utilisateurs non affichées)
Ligne 1 : Ligne 1 :
 
Date de sortie : 25 novembre 2009
 
Date de sortie : 25 novembre 2009
 +
 +
IMPORTANT : La [[Mise à jour à Moodle 1.9|mise à jour vers Moodle 1.9.7]] est fortement recommandée !
  
 
Consulter la liste des [http://tracker.moodle.org/browse/MDL/fixforversion/10360 détails sur les évolutions et corrections de bogues] de cette version 1.9.7 (en anglais).
 
Consulter la liste des [http://tracker.moodle.org/browse/MDL/fixforversion/10360 détails sur les évolutions et corrections de bogues] de cette version 1.9.7 (en anglais).
Ligne 13 : Ligne 15 :
 
:La politique de mot de passe est configurable dans ''Administration > Sécurité > [[Règles site]]''. Par défaut, les mots de passe doivent avoir au moins 8 caractères, parmi lesquels un chiffre, une lettre minuscule, une lettre majuscule et un caractère non-alphanumérique.
 
:La politique de mot de passe est configurable dans ''Administration > Sécurité > [[Règles site]]''. Par défaut, les mots de passe doivent avoir au moins 8 caractères, parmi lesquels un chiffre, une lettre minuscule, une lettre majuscule et un caractère non-alphanumérique.
 
* Une fois la mise à jour à 1.9.7 effectuée, il est demandé aux administrateurs de modifier leur mot de passe, lors de la connexion suivante (seulement pour la méthode d'authentification manuelle et les comptes créés via auto-enregistrement par courriel).
 
* Une fois la mise à jour à 1.9.7 effectuée, il est demandé aux administrateurs de modifier leur mot de passe, lors de la connexion suivante (seulement pour la méthode d'authentification manuelle et les comptes créés via auto-enregistrement par courriel).
* Afin de réduire considérablement le risque de vol de mot de passe, un [[Salage de mot de passe|sel de mot de passe]] est défini dans le fichier ''[[Fichier de configuration|config.php]]'' lors des nouvelles installations. Lors des mises à jour vers à Moodle 1.9.7, un message de notification est envoyé aux administrateurs, leur recommandant de définir un tel sel de mot de passe.
+
* Afin de réduire considérablement le risque de vol de mot de passe, un [[Salage de mot de passe|sel de mot de passe]] est défini dans le fichier ''[[Fichier de configuration|config.php]]'' lors des nouvelles installations. Lors des mises à jour vers Moodle 1.9.7, un message de notification est envoyé aux administrateurs, leur recommandant de définir un tel sel de mot de passe.
 
* Les enseignants perdent la possibilité d'inclure les données des utilisateurs dans les sauvegardes de cours et de restaurer les sauvegardes contenant de telles données, suite à l'introduction des nouvelles capacités [[Capabilities/moodle/backup:userinfo|moodle/backup:userinfo]] et [[Capabilities/moodle/restore:userinfo|moodle/restore:userinfo]], qui ne sont pas autorisées par défaut pour les enseignants. Les administrateurs de sites comportant des rôles personnalisés sont encouragés à contrôler soigneusement ces permissions. Ils peuvent restaurer ces permissions et sont avertis des risques encourus dans ce cas.
 
* Les enseignants perdent la possibilité d'inclure les données des utilisateurs dans les sauvegardes de cours et de restaurer les sauvegardes contenant de telles données, suite à l'introduction des nouvelles capacités [[Capabilities/moodle/backup:userinfo|moodle/backup:userinfo]] et [[Capabilities/moodle/restore:userinfo|moodle/restore:userinfo]], qui ne sont pas autorisées par défaut pour les enseignants. Les administrateurs de sites comportant des rôles personnalisés sont encouragés à contrôler soigneusement ces permissions. Ils peuvent restaurer ces permissions et sont avertis des risques encourus dans ce cas.
 
* Les empreintes md5 des mots de passe des utilisateurs ne sont plus enregistrées dans les fichiers de sauvegarde contenant des données d'utilisateurs. Après restauration d'une sauvegarde sur un nouveau site Moodle, les utilisateurs de ce site devront récupérer leur mot de passe à l'aide de l'outil de récupération du mot de passe.
 
* Les empreintes md5 des mots de passe des utilisateurs ne sont plus enregistrées dans les fichiers de sauvegarde contenant des données d'utilisateurs. Après restauration d'une sauvegarde sur un nouveau site Moodle, les utilisateurs de ce site devront récupérer leur mot de passe à l'aide de l'outil de récupération du mot de passe.
 +
* Moodle n'affichera plus les contenus Flash sur les navigateurs ayant des versions du plugin Flash trop anciennes. Les administrateurs peuvent définir la version minimale requise de Flash Player depuis ''Administration > Sécurité > [[:en:HTTP security|Sécurité HTTP]]''.
  
 
=== Sécurité ===
 
=== Sécurité ===
* Plusieurs problèmes relatifs aux mots de passe - [[Politique de mot de passe|politique de mot de passe]] activée par défaut, [[Salage de mot de passe|sel de mot de passe]] dans le fichier ''config.php'', mot de passe des administrateurs à changer obligatoirement, option pour imposer le changement de mot de passe dans les [[Actions_en_lots_sur_les_utilisateurs]].
+
* [http://moodle.org/mod/forum/discuss.php?d=139100 MSA-09-0022] - Plusieurs problèmes [http://fr.wikipedia.org/wiki/Cross-site_request_forgery CSRF] corrigés.
* Plusieurs problèmes relatifs à la sauvegarde/restauration - nouvelles capacités [[Capabilities/moodle/backup:userinfo|moodle/backup:userinfo]] et [[Capabilities/moodle/restore:userinfo|moodle/restore:userinfo]] pour contrôler qui peut sauvegarder/restaurer les données des utilisateurs. Les mots de passe ne sont plus enregistrés dans les sauvegardes.
+
* [http://moodle.org/mod/forum/discuss.php?d=139102 MSA-09-0023] - Révélation de comptes utilisateurs corrigée dans le module [[LAMS]].
 
+
* [http://moodle.org/mod/forum/discuss.php?d=139103 MSA-09-0024] - Contrôle d'accès insuffisant corrigé dans le module [[Glossaire]].
''D'autres informations suivront.''
+
* [http://moodle.org/mod/forum/discuss.php?d=139105 MSA-09-0025] - Empreintes MD5 superflues retirées de la table « user » de la base de données.
 +
* [http://moodle.org/mod/forum/discuss.php?d=139106 MSA-09-0026] - Contrôle d'accès invalide aux applications corrigé dans l'interface [[Réseau Moodle|MNET]].
 +
* [http://moodle.org/mod/forum/discuss.php?d=139107 MSA-09-0027] - Les informations de connexion sont toujours envoyées de façon sécurisé lors de l'utilisation de SSL pour les connexions.
 +
* [http://moodle.org/mod/forum/discuss.php?d=139110 MSA-09-0028] - Les mots de passe et secrets ne sont plus enregistrés dans les sauvegardes. Nouvelles capacités [[Capabilities/moodle/backup:userinfo|moodle/backup:userinfo]] et [[Capabilities/moodle/restore:userinfo|moodle/restore:userinfo]] pour contrôler qui peut sauvegarder/restaurer les données des utilisateurs. Nouveaux contrôles dans le [[Panorama de sécurité|panorama de sécurité]] pour aider les administrateurs à identifier les permissions liées aux sauvegardes et potentiellement dangereuses.
 +
* [http://moodle.org/mod/forum/discuss.php?d=139111 MSA-09-0029] - Une [[Politique de mot de passe|politique de mot de passe]] stricte est activée par défaut. L'ajout d'un [[Salage de mot de passe|sel de mot de passe]] dans le fichier ''[[Fichier de configuration|config.php]]'' est encouragé. Les administrateurs sont forcés à changer leur mot de passe après la mise à jour. Les administrateurs peuvent imposer le changement de mot de passe des utilisateurs depuis les [[Actions en lots sur les utilisateurs]].
 +
* [http://moodle.org/mod/forum/discuss.php?d=139119 MSA-09-0030] - Nouveau mécanisme de détection des plugins Flash non sûrs ; Moodle n'affiche pas les contenus Flash avec les plugins non sûrs.
 +
* [http://moodle.org/mod/forum/discuss.php?d=139120 MSA-09-0031] - Injection SQL corrigée dans le module [[SCORM]].
  
 
=== Nouveau paquetage de langue ===
 
=== Nouveau paquetage de langue ===
Ligne 27 : Ligne 36 :
  
 
Voir les [[:en:Translation credits|remerciements de traduction]] (en anglais) pour plus de détails.
 
Voir les [[:en:Translation credits|remerciements de traduction]] (en anglais) pour plus de détails.
 
=== Problèmes connus et régressions ===
 
Aucun problème connu actuellement.
 
  
 
<noinclude>=== Voir aussi ===
 
<noinclude>=== Voir aussi ===
 
* [[Notes de mise à jour de Moodle 1.9.6]]
 
* [[Notes de mise à jour de Moodle 1.9.6]]
 
* Toutes les [[Notes de mise à jour de Moodle 1.9|Notes de mise à jour de la branche Moodle 1.9]]
 
* Toutes les [[Notes de mise à jour de Moodle 1.9|Notes de mise à jour de la branche Moodle 1.9]]
 +
* [[Mise à jour à Moodle 1.9]]
  
 
[[Catégorie:Notes de mises à jour]]
 
[[Catégorie:Notes de mises à jour]]

Version actuelle en date du 25 mars 2010 à 08:49

Date de sortie : 25 novembre 2009

IMPORTANT : La mise à jour vers Moodle 1.9.7 est fortement recommandée !

Consulter la liste des détails sur les évolutions et corrections de bogues de cette version 1.9.7 (en anglais).

Principales corrections

Changements fonctionnels

  • Pour imposer l'amélioration de la qualité des mots de passe, et réduire ainsi les risques d'attaque md5, la politique de mot de passe est activée par défaut dans les nouvelles installations, et lors de la mise à jour vers Moodle 1.9.7.
La politique de mot de passe est configurable dans Administration > Sécurité > Règles site. Par défaut, les mots de passe doivent avoir au moins 8 caractères, parmi lesquels un chiffre, une lettre minuscule, une lettre majuscule et un caractère non-alphanumérique.
  • Une fois la mise à jour à 1.9.7 effectuée, il est demandé aux administrateurs de modifier leur mot de passe, lors de la connexion suivante (seulement pour la méthode d'authentification manuelle et les comptes créés via auto-enregistrement par courriel).
  • Afin de réduire considérablement le risque de vol de mot de passe, un sel de mot de passe est défini dans le fichier config.php lors des nouvelles installations. Lors des mises à jour vers Moodle 1.9.7, un message de notification est envoyé aux administrateurs, leur recommandant de définir un tel sel de mot de passe.
  • Les enseignants perdent la possibilité d'inclure les données des utilisateurs dans les sauvegardes de cours et de restaurer les sauvegardes contenant de telles données, suite à l'introduction des nouvelles capacités moodle/backup:userinfo et moodle/restore:userinfo, qui ne sont pas autorisées par défaut pour les enseignants. Les administrateurs de sites comportant des rôles personnalisés sont encouragés à contrôler soigneusement ces permissions. Ils peuvent restaurer ces permissions et sont avertis des risques encourus dans ce cas.
  • Les empreintes md5 des mots de passe des utilisateurs ne sont plus enregistrées dans les fichiers de sauvegarde contenant des données d'utilisateurs. Après restauration d'une sauvegarde sur un nouveau site Moodle, les utilisateurs de ce site devront récupérer leur mot de passe à l'aide de l'outil de récupération du mot de passe.
  • Moodle n'affichera plus les contenus Flash sur les navigateurs ayant des versions du plugin Flash trop anciennes. Les administrateurs peuvent définir la version minimale requise de Flash Player depuis Administration > Sécurité > Sécurité HTTP.

Sécurité

  • MSA-09-0022 - Plusieurs problèmes CSRF corrigés.
  • MSA-09-0023 - Révélation de comptes utilisateurs corrigée dans le module LAMS.
  • MSA-09-0024 - Contrôle d'accès insuffisant corrigé dans le module Glossaire.
  • MSA-09-0025 - Empreintes MD5 superflues retirées de la table « user » de la base de données.
  • MSA-09-0026 - Contrôle d'accès invalide aux applications corrigé dans l'interface MNET.
  • MSA-09-0027 - Les informations de connexion sont toujours envoyées de façon sécurisé lors de l'utilisation de SSL pour les connexions.
  • MSA-09-0028 - Les mots de passe et secrets ne sont plus enregistrés dans les sauvegardes. Nouvelles capacités moodle/backup:userinfo et moodle/restore:userinfo pour contrôler qui peut sauvegarder/restaurer les données des utilisateurs. Nouveaux contrôles dans le panorama de sécurité pour aider les administrateurs à identifier les permissions liées aux sauvegardes et potentiellement dangereuses.
  • MSA-09-0029 - Une politique de mot de passe stricte est activée par défaut. L'ajout d'un sel de mot de passe dans le fichier config.php est encouragé. Les administrateurs sont forcés à changer leur mot de passe après la mise à jour. Les administrateurs peuvent imposer le changement de mot de passe des utilisateurs depuis les Actions en lots sur les utilisateurs.
  • MSA-09-0030 - Nouveau mécanisme de détection des plugins Flash non sûrs ; Moodle n'affiche pas les contenus Flash avec les plugins non sûrs.
  • MSA-09-0031 - Injection SQL corrigée dans le module SCORM.

Nouveau paquetage de langue

  • Dhivehi - Ahmed Shareef, Moosa Ali, Amir Hussein

Voir les remerciements de traduction (en anglais) pour plus de détails.

Voir aussi