Remote Command Execution Schwachstelle in e-Learning Plattform Moodle
31. Oktober 2013
Informationsquelle(n):
rapid7 Security Street Post by Brandon Perry
https://community.rapid7.com/community/metasploit/blog/2013/10/30/seven-tricks-and-treats
CERT.at ersucht um Beachtung der folgenden Meldung.
Aufgrund der hohen Verbreitung der e-Learning Plattform Moodle haben wir uns entschlossen folgende Warnung herauszugeben.
Beschreibung
Wie der Security Researcher Brandon Perry von rapid7 berichtet, wurde eine Sicherheitslücke im aktuellsten Stable-Release der e-Learning Plattform Moodle entdeckt, welche authentifizierten Benutzern eine Remote Command Execution ermöglicht.
Achtung
Weiters gibts es in Moodle Versionen vor 2.5.2 eine schwerwiegende Cross-Site-Scripting (XSS) Lücke (CVE-2013-4341), welche es Angreifern erlaubt Admin-Rechte zu erlangen.
Auswirkungen
Standardmäßig ist die Rechtschreibkorrektur (
aspell) in Moodle aktiviert - durch dieses Modul können Kommandos mit den Rechten der Web-Applikation ausgeführt werden. Mittlerweile ist auch ein Metasploit-Modul öffentlich zugänglich, welches genau diese Schwachstelle ausnützt.
Betroffene Moodle Versionen
Remote Command Execution (CVE-2013-3630)- 2.5.2
- 2.2.3
- 2.2.11
- 2.3.x bis < 2.3.9
- 2.4.x bis 2.4.6
- 2.5.x bis < 2.5.2
Abhilfe
Da es sich um keinen Bug sondern eher um einen Design Error handelt, wurde noch kein Patch in Aussicht gestellt, Brandon Perry empfiehlt aber den Moodle-Config Parameter"$CFG-> preventexecpath = true"zu setzen, um das Risiko zu minimieren.
Nutzer von Versionen vor 2.5.2 sollten wegen der XSS-Lücke also auf jeden Fall upgraden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
rapid7 Security Street Post by Brandon Perry
https://community.rapid7.com/community/metasploit/blog/2013/10/30/seven-tricks-and-treats