Groot gat in open source e-learning cms Moodle

Een docent kan een backup draaien van de hele Moodle-gebruikersdatabase en die dan openen in Excel.Het lijkt mij dat dat een actie van een beheerder hoort te zijn, als je ook gebruikersnamen en wachtwoorden terug krijgt. Tijd voor een grote schoonmaak in de code lijkt me.

Ed Botterweg, directeur van de enige Nederlandse Moodle-partner Stoas, wil graag benadrukken dat het gat alleen kan worden misbruikt door kwaadwillende werknemers.Proest. Goedwillende medewerkers zullen het inderdaad niet misbruiken, want dan worden het automatisch kwaadwillende medewerkers. :D

Ik hoop dat hij hier meer mee bedoelde dat het een intern probleem is, en dat het van buiten in principe niet te misbruiken is.

Al met al een slordig gevalletje wat snel opgelost moet worden. Maar goed, zolang die software niet via het grote boze internet misbruikt kan worden, is het nog geen showstopper.

Ps. Ik had niet echt de indruk dat Moodle en Sharepoint vergelijkbaar waren.

Ps2. ;) Ligt het aan mij of heeft Webwereld vandaag de dag van de overdrijving uit geroepen? Termen als 'Leunt zwaar op', 'Verplettert' en nu 'Gapend gat'... Ik zie een patroon. De classificaties worden steeds zwaarder en ze dekken steeds minder de lading.

Ik vind het nogal meevallen. Dit is een lek dat, als ik het goed begrijp, alleen lokaal kan worden uitgebuit. Als je Moodle via internet benadert is dat verder niet mogelijk.

Beetje Microsoft Windows versus Linux lekken: veel van win32 remote (vandaar de spam), die van Linux doorgaans alleen lokaal uit te voeren.

""We gaan er toch vanuit dat dit werknemers zijn van serieuze bedrijven die niet hun eigen bedrijf gaan benadelen door de backup te hacken"

Sure... laten we elke baliemedewerker van elk ziekenhuis toegang geven tot alle medische dossiers....

Wat een but-redenering.

Als dit een "groot" gat genoemd mag worden dan heeft alle webbased software grote gaten.
Ook sharepoint is lek als er backups van de database worden rondgemailed

De docent kan in Moodle een backup maken van zijn eigen cursus. Moodle maakt de fout dat deze backup meer bevat dan de eigen cursus, namelijk allerlei gegevens van de gebruikers, en dat deze gegevens onvoldoende gecodeerd zijn. Dat is iets dat snel gerepareerd moet worden.

Het risico is echter eenvoudig te reduceren door in te stellen dat de docent geen toegang meer heeft tot de backupfunctie. Dat kan door de rechten van de rol docent aan te passen.

Als de beheerder zijn werk goed doet, dus dagelijks zorgt voor een backup van alle gegevens, hoeft de docent ook niet de mogelijkheid te hebben om een backup te maken.

Een groot gapend gat zou ik het ook niet willen noemen. Stoas daarentegen levert het wat extra naamsbekendheid op.

Hoe klassificeren we een lek? Of kan ik beter vragen, wanneer ga je iets in de media een groot gat noemen? Persoonlijk zou ik de grens leggen bij een situatie waar een buitenstaander met nagenoeg geen moeite toegang tot een service of systeem krijgt. Hier moet eerst iemand met rechten tot het maken van een backup aan te pas komen om vervolgens hopelijk een hash te vinden waarbij het wachtwoord in plain text valt te achterhalen en de aanvaller dan ook nog eens toegang heeft tot het systeem. Aangenomen dat we aan gelaagde beveiliging doen is dat dus geen externe gebruiker, is het een gebruiker met voldoende rechten en is er voldoende tijd en geluk om het wachtwoord te achterhalen en kan de persoon verder bij het systeem tot misbruik. Geen groot gat dus, maar wel een flinke deuk in het vertrouwen over de ontwikkelaars en hun kennis over veiligheid.

Open source is toch veiliger dan closed source? Omdat er zoveel mensen meekijken in de code? Het blijkt dat je met open source ook knullige programmeerfouten kunt maken, en niemand in dat enorme legioen van open source ontwikkelaars heeft blijkbaar aan de bel getrokken.

Sjonge sjonge wat een onzin allemaal. MD5 crackers? Die bestaan niet. MD5 is niet gekraakt, er zijn collisions mogelijk, da's wezenlijk iets anders, maar daar gaat 't hier ook niet over. Dat mensen eenvoudig te raden wachtwooden kiezen heeft niets met MD5 te maken. MD5 kan nog wel een paar jaar mee voor dit soort gebruik. Dat een leraar de DB kan downloaden is de enige fout. Wat ook fout zijn de Telegraaf-stijl bewoordingen van Webwereld. Ik zie nu echt in dat 't een Microsoft toko is. Doe geen moeite, ik laat me zelf wel uit.

Geachte redactie,

Wilt u zo vriendelijk zijn om uw definitie van een "groot gat" in deze discussie te vermelden.

Dank voor uw medewerking!

Wilt u zo vriendelijk zijn om uw definitie van een "groot gat" in deze discussie te vermelden Suggereer jij hier nu mee dat dit "gat" nog wel meevalt ? In tegenstelling tot de meeste gaten waar we meestal mee te maken krijgen en die behoorlijk moeilijk te exploiteren zijn in praktijk, is de techniek die hiervoor toegepast moet worden zondermeer kinderspel. De term "groot gat" is hier dus zondermeer op zijn plaats...

Mav.

Wat een nonsens om moodle met ms-sharepoint te vergelijken!
Het is weer erg polariserend neergezet.
Het is een gaatje, meer niet, en nog ontdekt door de community zelf notabene, en wordt ook opgelost door de community.
MD5 is een obsolete hash functie, en moet snel vervangen worden (niet alleen in moodle denk ik zo:-0.
Moodle is en blijft gewoon een prachtig mooi product:-)

Moodle wordt veel gebruikt op middelbare scholen. Op die scholen hebben de docenten meestal een beperkte kennis van ICT. Blijkbaar krijgt elke docent standaard de optie gebruikersnamen en wachtwoorden te downloaden. Gezien het gebrek aan kennis van die docenten lijkt me dat levensgevaarlijk. Hoeveel moeite is het voor een leerling om via het netwerk aan zo'n backup te komen, zijn cijfers te wijzigen, en de backup terug te zetten? Het lijkt me dat hier principeel iets niet goed zit.

ik ken de moodle code wel een beetje, en het is inderdaad een rommeltje.
Maar dit is echter een non probleem. Ook de systeem beheerder kan een backupje draaien van de MySQL database en zo de gegevens stelen. Dan thuis even een brute force or rainbow table erop loslaten en klaar. Maar luister, dit geld zowat voor elk systeem dat een backup kan maken binnen de appliecatie, en dat zijn er velen!

Wel is de moodle code behoorlijk vaag als het om SQL injecties gaat, zoms moet je wel quotes toevoegen aan je text, en in sommige gevallen niet.

Wat nu als een student meeleest op de Moodle community en de exploit ziet voorgedaan? Het voordeel van OS is de openheid; het nadeel daarvan is dat kwaadwillenden kunnen meelezen. Op een e-commerce website onder beheer van professionals geen probleem. Maar op een e-learning systeem onder beheer van docenten wel. Dan kan een student via de exploit zijn cijfers veranderen. De leverancier van CS zal in stilte de fout oplossen en op de achtergrond een update verzorgen. Een voordeel voor CS in dit soort gevallen.