Diferencia entre revisiones de «Notas de Moodle 1.8.11»
De MoodleDocs
| (No se muestran 2 ediciones intermedias del mismo usuario) | |||
| Línea 14: | Línea 14: | ||
* Las constraseñas cifradas ya no son guardadas en los ficheros de copia de seguridad de los cursos. Si un curso es restaurado en un sitio nuevo, los usuarios tendrán que resetear su contraseña la primera vez que se conecten. | * Las constraseñas cifradas ya no son guardadas en los ficheros de copia de seguridad de los cursos. Si un curso es restaurado en un sitio nuevo, los usuarios tendrán que resetear su contraseña la primera vez que se conecten. | ||
* Sistema de detección de plugins de Flash inseguros. Moodle no servirá ningún archivo Flash a navegadores con versiones problemáticas del plugin. | |||
===Problemas de seguridad=== | ===Problemas de seguridad=== | ||
* | * [http://moodle.org/mod/forum/discuss.php?d=139100 MSA-09-0022] - Múltiples problemas CSRF solucionados. | ||
* | * [http://moodle.org/mod/forum/discuss.php?d=139102 MSA-09-0023] - Solucionado problema de revelación de cuentas de usuario en el módulo [[LAMS]]. | ||
* [http://moodle.org/mod/forum/discuss.php?d=139103 MSA-09-0024] - Mejorado el control de acceso en el módulo [[Glosarios|Glosario]] | |||
* [http://moodle.org/mod/forum/discuss.php?d=139105 MSA-09-0025] - Cualquier contraseña/secreto cifrado no necesario ha sido eliminado de la table de usuarios. | |||
* [http://moodle.org/mod/forum/discuss.php?d=139106 MSA-09-0026] - Solucionado problema en el control de acceso del interfaz de MNET. | |||
* [http://moodle.org/mod/forum/discuss.php?d=139107 MSA-09-0027] - Garantizado el envío de la información de acceso de forma segura al utilizar SSL para acceder. | |||
* [http://moodle.org/mod/forum/discuss.php?d=139110 MSA-09-0028] - Las contraseñas y secretos de usuario ya no son guardadas en las copias de seguridad. Nuevos permisos [[Capabilities/moodle/backup:userinfo|moodle/backup:userinfo]] y [[Capabilities/moodle/restore:userinfo|moodle/restore:userinfo]] para controlar quién puede incluir información de usuario. Nuevos controles en el informe de seguridad ayudan al administrador a identificar quién puede tener permisos peligrosos. | |||
* [http://moodle.org/mod/forum/discuss.php?d=139111 MSA-09-0029] - La [[Políticas del sitio#Política de contraseñas|Política de contraseñas]] activadas por defecto, [[report/security/report security check passwordsaltmain|salado de contraseñas]], cambio de contraseñas forzado para administradores, opción de cambio de contraseña masiva. | |||
* [http://moodle.org/mod/forum/discuss.php?d=139120 MSA-09-0031] - Solucionada inyección SQL en el módulo [[SCORM]]. | |||
* [http://moodle.org/mod/forum/discuss.php?d=139119 MSA-09-0030] - En Moodle 1.8.11+, desde el 23/12/09 en adelante: Sistema de detección de plugins de Flash inseguros. Moodle no servirá ningún archivo Flash a navegadores con versiones problemáticas del plugin. | |||
===Problemas conocidos y regresiones=== | ===Problemas conocidos y regresiones=== | ||
Revisión actual - 17:29 21 dic 2009
Fecha de la versión: 25 de Noviembre de 2009
Importante: ¡Esta actualización es muy recomendable!
Esta página muestra información (en inglés) de las mejoras y soluciones de problemas que incorpora.
Cambios funcionales
- Tras la actualización de la versión se solicitará a todos los adminstradores que cambien su contraseña la próxima vez que accedan al sistema (solo en los casos de autenticación manual o por correo).
- Para reducir el riesgo de vulneración de contraseñas, un salado de contraseñas es definido en el fichero config.php para nuevas instalaciones. Para actualizaciones, los administradores recibirán un correo recomendándoles que lo hagan.
- Los profesores pierden los permisos para incluir CUALQUIER información de usuario en las copias de seguridad y en la restauración de cursos, debido a dos nuevos permisos moodle/backup:userinfo y moodle/restore:userinfo que no son permitidas por defecto al rol de profesor. Aquellos sitios que estén utilizando roles a medida deberán revisar con cuidado sus permisos. Los administradores pueden restituir esos permisos a los profesores en cualquier momento, pero son informados del riesgo que ello conlleva.
- Las constraseñas cifradas ya no son guardadas en los ficheros de copia de seguridad de los cursos. Si un curso es restaurado en un sitio nuevo, los usuarios tendrán que resetear su contraseña la primera vez que se conecten.
- Sistema de detección de plugins de Flash inseguros. Moodle no servirá ningún archivo Flash a navegadores con versiones problemáticas del plugin.
Problemas de seguridad
- MSA-09-0022 - Múltiples problemas CSRF solucionados.
- MSA-09-0023 - Solucionado problema de revelación de cuentas de usuario en el módulo LAMS.
- MSA-09-0024 - Mejorado el control de acceso en el módulo Glosario
- MSA-09-0025 - Cualquier contraseña/secreto cifrado no necesario ha sido eliminado de la table de usuarios.
- MSA-09-0026 - Solucionado problema en el control de acceso del interfaz de MNET.
- MSA-09-0027 - Garantizado el envío de la información de acceso de forma segura al utilizar SSL para acceder.
- MSA-09-0028 - Las contraseñas y secretos de usuario ya no son guardadas en las copias de seguridad. Nuevos permisos moodle/backup:userinfo y moodle/restore:userinfo para controlar quién puede incluir información de usuario. Nuevos controles en el informe de seguridad ayudan al administrador a identificar quién puede tener permisos peligrosos.
- MSA-09-0029 - La Política de contraseñas activadas por defecto, salado de contraseñas, cambio de contraseñas forzado para administradores, opción de cambio de contraseña masiva.
- MSA-09-0031 - Solucionada inyección SQL en el módulo SCORM.
- MSA-09-0030 - En Moodle 1.8.11+, desde el 23/12/09 en adelante: Sistema de detección de plugins de Flash inseguros. Moodle no servirá ningún archivo Flash a navegadores con versiones problemáticas del plugin.
Problemas conocidos y regresiones
(ninguno por ahora)
