zurück zum Artikel

Einige Moodle-Versionen sind aufgrund diverser Schwachstellen für Angriffe empfänglich. Sicherheitsupdates sind verfügbar.

Die E-Learning-Plattform Moodle ist verwundbar. Nutzen Angreifer die vier Lücken aus, könnten sie beispielsweise eigentlich gesperrte Quiz-Ergebnisse in der Mobil-App einsehen [1]. Von den Lücken sind aber nicht alle Versionen betroffen. Diese und die abgesicherten Ausgaben finden sich in den offiziellen Sicherheitswarnungen, die am Ende der Meldung verlinkt sind.

Außerdem könnten Angreifer die Liste mit blockierten Hosts umgehen, einen XSS-Angriff ausführen und via XSRF-Attacke URLs auslesen. Den letztgenannten Angriff stufen der Anbieter als "ernst" ein. Die restlichen Lücken sind mit dem Bedrohungsgrad "gering" versehen. Das Notfallteam vom BSI CERT Bund sieht das von den Schwachstellen ausgehende Risiko [2] in der Summe als "hoch" an.

• Server Side Request Forgery in the filepicker [3]
• Privilege escalation in quiz web services [4]
• Setting for blocked hosts list can be bypassed with multiple A record hostnames [5]
• XSS in calendar event name [6]

(des [7])

URL dieses Artikels:
https://www.heise.de/-3947981

Links in diesem Artikel:
[1] https://moodle.org/mod/forum/discuss.php?d=364383&parent=1469492
[2] https://www.cert-bund.de/advisoryshort/CB-K18-0134
[3] https://moodle.org/mod/forum/discuss.php?d=364381&parent=1469490
[4] https://moodle.org/mod/forum/discuss.php?d=364383&parent=1469492
[5] https://moodle.org/mod/forum/discuss.php?d=364382&parent=1469491
[6] https://moodle.org/mod/forum/discuss.php?d=364384&parent=1469494
[7] mailto:des@heise.de

Copyright © 2018 Heise Medien