Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
System do e-learningu z setkami tysięcy instalacji ma problem – RCE w Moodle
Moodle – jedno z chyba najpopularniejszych narzędzi do e-learningu, dostępne w w modelu OpenSource, doczekało się odkrycia dość nieprzyjemnego błędu.
Można mianowicie wykonywać polecenia w systemie operacyjnym, na którym zainstalowany jest Moodle, posiadając dowolne konto użytkownika (poza guest).
Finalny 'efekt’ składa się z mniejszych kroków takich jak wykorzystanie dwóch podatności typu SQL injection oraz Object Injection.
Podatnych jest dość dużo wersji (3.2 – 3.2.1, 3.1 – 3.1.4, 3.0 – 3.0.8, 2.7.0 – 2.7.18)
Ciężko stwierdzić ile mamy podatnych / zainstalowanych instancji Moodle, ale np. takie niewinne zapytanie do Google pokazuje przeszło 33 000 000 wyników:
–ms
Poważny błąd dotyczy jedynie starszych wersji 3.2.2. 3.2 zostało dopiero co zostało wypuszczone, więc ilość instalacji z problemem będzie dużo mniejsza.
wg moich doświadczeń mało co kto aktualizuje ;-) chyba że jest jakieś wymuszanie aktualizacji?