[Warning] Remote Command Execution Schwachstelle in e-Learning Plattform Moodle

Matthias Fraidl fraidl at cert.at
Thu Oct 31 13:59:38 CET 2013


31. Oktober 2013

   CERT.at ersucht um Beachtung der folgenden Meldung.

   Aufgrund der hohen Verbreitung der e-Learning Plattform Moodle[1]
   haben wir uns entschlossen folgende Warnung herauszugeben.

Beschreibung

   Wie der Security Researcher Brandon Perry von rapid7 berichtet[2],
   wurde eine Sicherheitslücke[3] im aktuellsten Stable-Release der
   e-Learning Plattform Moodle entdeckt, welche authentifizierten
   Benutzern eine Remote Command Execution ermöglicht.

   Achtung:
   Weiters gibts es in Moodle Versionen vor 2.5.2 eine schwerwiegende
   Cross-Site-Scripting (XSS) Lücke (CVE-2013-4341), welche es
   Angreifern erlaubt Admin-Rechte zu erlangen.

Auswirkungen

   Standardmäßig ist die Rechtschreibkorrektur (aspell) in Moodle
   aktiviert - durch dieses Modul können Kommandos mit den Rechten der
   Web-Applikation ausgeführt werden. Mittlerweile ist auch ein
   Metasploit-Modul[4] öffentlich zugänglich, welches genau diese
   Schwachstelle ausnützt.

Betroffene Moodle Versionen

   Remote Command Execution (CVE-2013-3630)
     * 2.5.2
     * 2.2.3

   XSS Vulnerabilty (CVE-2013-4341)
     * 2.2.11
     * 2.3.x bis < 2.3.9
     * 2.4.x bis 2.4.6
     * 2.5.x bis < 2.5.2

Abhilfe

   Da es sich um keinen Bug sondern eher um einen Design Error handelt,
   wurde noch kein Patch in Aussicht gestellt, Brandon Perry empfiehlt
   aber den Moodle-Config Parameter "$CFG-> preventexecpath = true" zu
   setzen, um das Risiko zu minimieren.

   Nutzer von Versionen vor 2.5.2 sollten wegen der XSS-Lücke also auf
   jeden Fall upgraden.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):

   1. https://moodle.org/
   2.
https://community.rapid7.com/community/metasploit/blog/2013/10/30/seven-tricks-and-treats
   3. http://www.rapid7.com/db/modules/exploit/multi/http/moodle_cmd_exec
   4. http://cxsecurity.com/issue/WLB-2013100211

-- 
// CERT Austria - Matthias Fraidl <fraidl at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20131031/0e89af35/attachment.sig>


More information about the Warning mailing list