Sicher & Anonym

Moodle: Neue Versionen beseitigen Remote-Angriffsmöglichkeit via Shibboleth

Mehrere Versionen der Lernplattform sind, allerdings nur bei aktivierter Shibboleth-Authentifizierung, aus der Ferne angreifbar. Updates stehen bereit.

Die Online-Lern- und Kursmanagement-Plattform Moodle hat wichtige Updates veröffentlicht, die eine Sicherheitslücke schließen, über die bei aktiviertem Shibboleth-Plugin – und nur dann – eine Codeausführung aus der Ferne (Remote Code Execution, RCE) möglich wäre. Laut den Entdeckern der Lücke, die sich per Mail mit heise Security in Verbindung gesetzt haben, ist für die RCE keinerlei Nutzerinteraktion erforderlich.

Ein aktuelles Moodle Security Announcement nennt als verwundbare Moodle-Versionen 3.11, 3.10 bis 3.10.4, 3.9 bis 3.9.7 sowie frühere, nicht mehr unterstützte Ausgaben. Die Versionen 3.11.1, 3.10.5 und 3.9.8 sind gegen Angriffe abgesichert.

Shibboleth per Default nicht aktiv

In der Default-Einstellung sei das Plugin zur Authentifizierung mit Shibboleth nicht aktiviert, heißt es in der Ankündigung; allerdings wird die Funktionalität von vielen Hochschulen und Institutionen verwendet. Die Entdecker der Lücke CVE-2021-36394, Robin Peraglie und Johannes Moritz, raten dazu, die Patches sofort einzuspielen oder, falls dies nicht möglich sei, zumindest das zuvor manuell aktivierte Shibboleth-Plugin wieder zu deaktivieren. Weiterführende Informationen zur Authentifizierung via Shibboleth sind der Moodle-Dokumentation zu entnehmen.

Da der Code des quelloffenen Moodle bei GitHub einschließlich der Schwachstelle und dem vor knapp drei Wochen hinzugefügten Patch-Code öffentlich einsehbar ist, könnten sich potenzielle Angreifer dort sehr einfach ein Bild von CVE-2021-36394 machen und einen Exploit entwickeln, warnen Moritz und Peraglie. In ihrer E-Mail wiesen sie zudem darauf hin, dass Moodle zur Patch-Entwicklung im Anschluss an die Schwachstellen-Meldung fast fünf Monate gebraucht habe.

Quelle: heise online Redaktion

Zurück

Diesen Beitrag teilen
oben