製品・ソフトウェアに関する情報

JVN脆弱性詳細

Moodle の lib/moodlelib.php におけるパスワードリカバリトークンを推測される脆弱性

Title	Moodle の lib/moodlelib.php におけるパスワードリカバリトークンを推測される脆弱性
Summary	Moodle の lib/moodlelib.php は、random_string および complex_random_string 関数の実装を PHP mt_rand 関数に依存するため、パスワードリカバリトークンを推測される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-254: Security Features (セキュリティ機能) と識別されています。 http://cwe.mitre.org/data/definitions/254.html
Possible impacts	第三者により、総当たり (brute-force) のアプローチを介して、パスワードリカバリトークンを推測される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 21, 2015, midnight
Registration Date	March 2, 2016, 4:23 p.m.
Last Update	March 2, 2016, 4:23 p.m.

Affected System

Moodle

Moodle 2.6.11 まで

Moodle 2.7.10 未満の 2.7.x

Moodle 2.8.8 未満の 2.8.x

Moodle 2.9.2 未満の 2.9.x

Moodle 2.6.11 まで

Moodle 2.7.10 未満の 2.7.x

Moodle 2.8.8 未満の 2.8.x

Moodle 2.9.2 未満の 2.9.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-5267	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5267
2	CVE-2015-5267	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5267
National Vulnerability Database (NVD)
3	CVE-2015-5267	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5267
4	CVE-2015-5267	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5267

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
2	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
3	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther
4	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Moodle
1	MDL-50860	https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50860
2	MDL-50860	https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50860
Security Announcements
3	MSA-15-0034: Vulnerability in password recovery mechanism	https://moodle.org/mod/forum/discuss.php?d=320291
4	MSA-15-0034: Vulnerability in password recovery mechanism	https://moodle.org/mod/forum/discuss.php?d=320291

Change Log

No	Changed Details	Date of change
0	[2016年03月02日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-5267

Summary	lib/moodlelib.php in Moodle through 2.6.11, 2.7.x before 2.7.10, 2.8.x before 2.8.8, and 2.9.x before 2.9.2 relies on the PHP mt_rand function to implement the random_string and complex_random_string functions, which makes it easier for remote attackers to predict password-recovery tokens via a brute-force approach.
Publication Date	Feb. 22, 2016, 2:59 p.m.
Registration Date	Jan. 26, 2021, 2:52 p.m.
Last Update	Nov. 21, 2024, 11:32 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50860
2	http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-50860
3	http://www.openwall.com/lists/oss-security/2015/09/21/1
4	http://www.openwall.com/lists/oss-security/2015/09/21/1
5	http://www.securitytracker.com/id/1033619
6	http://www.securitytracker.com/id/1033619
7	https://moodle.org/mod/forum/discuss.php?d=320291	Vendor Advisory
8	https://moodle.org/mod/forum/discuss.php?d=320291	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html
2	CWE-254	セキュリティ機能	https://cwe.mitre.org/data/definitions/254.html