[Warning] Remote Command Execution Schwachstelle in e-Learning Plattform Moodle
Matthias Fraidl
fraidl at cert.at
Thu Oct 31 13:59:38 CET 2013
31. Oktober 2013
CERT.at ersucht um Beachtung der folgenden Meldung.
Aufgrund der hohen Verbreitung der e-Learning Plattform Moodle[1]
haben wir uns entschlossen folgende Warnung herauszugeben.
Beschreibung
Wie der Security Researcher Brandon Perry von rapid7 berichtet[2],
wurde eine Sicherheitslücke[3] im aktuellsten Stable-Release der
e-Learning Plattform Moodle entdeckt, welche authentifizierten
Benutzern eine Remote Command Execution ermöglicht.
Achtung:
Weiters gibts es in Moodle Versionen vor 2.5.2 eine schwerwiegende
Cross-Site-Scripting (XSS) Lücke (CVE-2013-4341), welche es
Angreifern erlaubt Admin-Rechte zu erlangen.
Auswirkungen
Standardmäßig ist die Rechtschreibkorrektur (aspell) in Moodle
aktiviert - durch dieses Modul können Kommandos mit den Rechten der
Web-Applikation ausgeführt werden. Mittlerweile ist auch ein
Metasploit-Modul[4] öffentlich zugänglich, welches genau diese
Schwachstelle ausnützt.
Betroffene Moodle Versionen
Remote Command Execution (CVE-2013-3630)
* 2.5.2
* 2.2.3
XSS Vulnerabilty (CVE-2013-4341)
* 2.2.11
* 2.3.x bis < 2.3.9
* 2.4.x bis 2.4.6
* 2.5.x bis < 2.5.2
Abhilfe
Da es sich um keinen Bug sondern eher um einen Design Error handelt,
wurde noch kein Patch in Aussicht gestellt, Brandon Perry empfiehlt
aber den Moodle-Config Parameter "$CFG-> preventexecpath = true" zu
setzen, um das Risiko zu minimieren.
Nutzer von Versionen vor 2.5.2 sollten wegen der XSS-Lücke also auf
jeden Fall upgraden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
1. https://moodle.org/
2.
https://community.rapid7.com/community/metasploit/blog/2013/10/30/seven-tricks-and-treats
3. http://www.rapid7.com/db/modules/exploit/multi/http/moodle_cmd_exec
4. http://cxsecurity.com/issue/WLB-2013100211
--
// CERT Austria - Matthias Fraidl <fraidl at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20131031/0e89af35/attachment.sig>
More information about the Warning
mailing list