Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

System do e-learningu z setkami tysięcy instalacji ma problem – RCE w Moodle

22 marca 2017, 21:01 | W biegu | komentarze 2

Moodle – jedno z chyba najpopularniejszych narzędzi do e-learningu, dostępne w w modelu OpenSource, doczekało się odkrycia dość nieprzyjemnego błędu.

Można mianowicie wykonywać polecenia w systemie operacyjnym, na którym zainstalowany jest Moodle, posiadając dowolne konto użytkownika (poza guest).

Finalny 'efekt’ składa się z mniejszych kroków takich jak wykorzystanie dwóch podatności typu SQL injection oraz Object Injection.

Podatnych jest dość dużo wersji (3.2 – 3.2.1, 3.1 – 3.1.4, 3.0 – 3.0.8, 2.7.0 – 2.7.18)

Ciężko stwierdzić ile mamy podatnych / zainstalowanych instancji Moodle, ale np. takie niewinne zapytanie do Google pokazuje przeszło 33 000 000 wyników:

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tomek

    Poważny błąd dotyczy jedynie starszych wersji 3.2.2. 3.2 zostało dopiero co zostało wypuszczone, więc ilość instalacji z problemem będzie dużo mniejsza.

    Odpowiedz
    • wg moich doświadczeń mało co kto aktualizuje ;-) chyba że jest jakieś wymuszanie aktualizacji?

      Odpowiedz

Odpowiedz