Moodle: Neue Versionen beseitigen Remote-Angriffsmöglichkeit via Shibboleth

Die Online-Lern- und Kursmanagement-Plattform Moodle hat wichtige Updates veröffentlicht, die eine Sicherheitslücke schließen, über die bei aktiviertem Shibboleth-Plugin – und nur dann – eine Codeausführung aus der Ferne (Remote Code Execution, RCE) möglich wäre. Laut den Entdeckern der Lücke, die sich per Mail mit heise Security in Verbindung gesetzt haben, ist für die RCE keinerlei Nutzerinteraktion erforderlich.

Ein aktuelles Moodle Security Announcement nennt als verwundbare Moodle-Versionen 3.11, 3.10 bis 3.10.4, 3.9 bis 3.9.7 sowie frühere, nicht mehr unterstützte Ausgaben. Die Versionen 3.11.1, 3.10.5 und 3.9.8 sind gegen Angriffe abgesichert. Die Lücken-Entdecker haben außerdem technische Details in ihrem Blog beschrieben.

Shibboleth per Default nicht aktiv

In der Default-Einstellung sei das Plugin zur Authentifizierung mit Shibboleth nicht aktiviert, heißt es in der Ankündigung; allerdings wird die Funktionalität von vielen Hochschulen und Institutionen verwendet. Die Entdecker der Lücke CVE-2021-36394, Robin Peraglie und Johannes Moritz, raten dazu, die Patches sofort einzuspielen oder, falls dies nicht möglich sei, zumindest das zuvor manuell aktivierte Shibboleth-Plugin wieder zu deaktivieren. Weiterführende Informationen zur Authentifizierung via Shibboleth sind der Moodle-Dokumentation zu entnehmen.

Lesen Sie auch

FAQ: Einstieg in Moodle

Da der Code des quelloffenen Moodle bei GitHub einschließlich der Schwachstelle und dem vor knapp drei Wochen hinzugefügten Patch-Code öffentlich einsehbar ist, könnten sich potenzielle Angreifer dort sehr einfach ein Bild von CVE-2021-36394 machen und einen Exploit entwickeln, warnen Moritz und Peraglie. In ihrer E-Mail wiesen sie zudem darauf hin, dass Moodle zur Patch-Entwicklung im Anschluss an die Schwachstellen-Meldung fast fünf Monate gebraucht habe.

Update 27.07.21, 16:58: Link zum Blogeintrag aktualisiert.

(ovw)