The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в обучающей среде Moodle

22.03.2017 10:56

В Moodle (Modular Object-Oriented Dynamic Learning Environment), свободной модульной системе для организации дистанционного обучения, выявлена критическая узявимость (CVE-2017-2641), позволяющая осуществить подстановку SQL-кода и организовать выполнение произвольного PHP-кода на сервере. На основе Moodle построены обучающие системы многих известных университетов. В каталоге Moodle зарегистрировано более 78 тысяч обучающих сайтов, в том числе 2160 в России, 655 - Украине, 151 - Беларуси и 116 - Казахстане.

В ветке Moodle 3.2 уязвимость могут эксплуатировать зарегистрированные пользователи через манипуляции с настройками профиля пользователя в web-интерфейсе. В более ранних выпусках атака возможна только через API для взаимодействия c web-сервисами при наличии соответствующих расширенных прав доступа. Уязвимость позволяет осуществить подстановку SQL-кода, которая может быть использована для получения привилегий администратора Moodle, после чего атакующий может загрузить свой плагин или шаблон и добиться выполнения произвольного PHP-кода. Уязвимость устранена в выпусках 3.2.2, 3.1.5, 3.0.9 и 2.7.19.

  1. Главная ссылка к новости (http://netanelrub.in/2017/03/2...)
  2. OpenNews: Релиз модуля Электронный деканат 2.4.4 для системы дистанционного обучения Moodle 2.2.x
  3. OpenNews: Новая версия системы дистанционного обучения Moodle 2.2
  4. OpenNews: Релиз системы дистанционного обучения Moodle 2.0
  5. OpenNews: В Moodle добавлена поддержка отечественной формы организации учебного процесса
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/46236-moodle
Ключевые слова: moodle
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (-), 12:24, 22/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > критическая узявимость (CVE-2017-2641), позволяющая осуществить подстановку SQL-кода
    > php

    ... прошло 22 года с первого релиза похапе. В написанном на нём софте всё ещё находили детские уязвимости...

     
     
  • 2.4, Аноним (-), 12:37, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Будь мужиком, сделай достойную альтернативу без уязвимостей.
     
     
  • 3.23, all_glory_to_the_hypnotoad (ok), 22:08, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Давно уже сделали, это SQL с переменными связывания (bind variables). Но только честные bv, а не с последующим склеиванием всего запроса в плейн SQL как это не редко бывает.
     
     
  • 4.32, DeadLoco (ok), 23:58, 23/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Господи, ну что за страсть непременно строить велосипеды из костылей?

    Достаточно ограничить похапэ вызовами хранимых процедур, а любые прямые обращения к таблицам наглухо запретить. И все, проблема исчерпана. Но нет, ниасиляторы РСУБД начинают из гoвнa и веточек сооружать гoвнo, нафаршированое веточками...

     
     
  • 5.33, all_glory_to_the_hypnotoad (ok), 00:23, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не достаточно.

    Во-первых, для пользования хранимками нужна хорошая СУБД умеющая нормально работать с курсорами и итераторами, да и вообще с хранимками. Какой-нибудь компаньён php в виде mysql не очень подходит.

    Во-вторых, не каждый вид деятельности удобно засовывать в хранимки, например различные часто меняющиеся аналитические запросы. А что представимо более-менее стабильным простым API можно, конечно, засунуть в хранимки.

    В-третих, разовый SQL запрос (это как раз что делает пых выше склеиванием запроса в текст) выполняется качественно не точно так же, как и prepared SQL запрос или запрос вызванный из хранимки. Есть нюансы работы планировщика запроса. Так, например, prepared запрос, или вызываемый из хранимки, пессимизируется. Это особенно плохо для больших аналитических запросов.

    В-четвёртых, из хранимок тоже можно вызывать обычные текстовые запросы напарываясь на похожие грабли. Если заставить php'шника унести логику в хранимки, то проблемы просто переедут в хранимки.

     
     
  • 6.34, DeadLoco (ok), 01:12, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Для пользования хранимками нужна хорошая СУБД умеющая нормально работать с курсорами
    > и итераторами

    Почитайте на досуге К.Дж.Дейту. До просветления. Ну, или попейте капель для изгнания из организма кривых паттернов.

    > Во-вторых, не каждый вид деятельности удобно засовывать в хранимки, например различные
    > часто меняющиеся аналитические запросы.

    У кого вообще может хватить ума дать публичный доступ к базе для произвольных запросов? Сам в свою - сколько угодно, но когда это продукт для других - за такое надо гнать из профессии.

    > Так, например, prepared запрос, или вызываемый из хранимки, пессимизируется.

    Фейспалм.тхт
    Ну почитайте же хоть что-нибудь о хранимых процедурах!

    > Если заставить php'шника унести логику в хранимки, то проблемы просто переедут в хранимки.

    Потому что нельзя похапешника пускать с немытыми ногами в РСУБД. ДБА должен выкатить АПИ из хранимых процедур, и этим все взаимодействие похапешников с базой должно быть ограничено.

     
  • 2.5, iPony (?), 12:56, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А подскажи язык, на котором нельзя написать софт с SQL инъекцией
     
     
  • 3.6, Аноним (-), 13:50, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    html
     
     
  • 4.10, Аноним (-), 14:44, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее даже CSS, потому как в HTML есть WebSocket.
     
     
  • 5.12, angra (ok), 15:36, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В HTML нет websockets. Они есть в HTML5, который стандарт не только языка разметки HTML, но и кучи сопуствующих технологий, включающих в себя API websockets, который не включает в себя работу с sql. Websockets предоставляет для работы с sql не больше возможностей, чем обычные формы или гипертекстовые ссылки.
     
  • 4.21, Аноним (-), 20:15, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почему же? На html можно реализовать клеточный автомат с правилом 101, а на нем машину Тьюринга и соответственно алгоритм, который использует уязвимость виртуальной машины для запуска работы с сетью.
     
  • 3.15, angra (ok), 15:41, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А подскажи язык, на котором нельзя написать софт с SQL инъекцией

    Тот, на котором вообще невозможна работа с sql. Это же очевидно.

     
  • 3.19, Аноним (-), 17:49, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Внезапно, Java. Если не составлять запросы склеиванием строк, конечно.
     
     
  • 4.22, angra (ok), 20:37, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Внезапно, на PHP точно такая же ситуация.
     
     
  • 5.25, Аноним (-), 00:57, 23/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А вот и нет. В похапе даже это умудрились сделать через жопу:

    https://stackoverflow.com/questions/134099/are-pdo-prepared-statements-suffici

     
     
  • 6.26, пох (?), 01:27, 23/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и причем тут php, если речь о mysql api?
    (причем в каком-то уникально уродливом варианте использования - узкоглазая кодировка на сервере, клиент не проверяет соответствие инпута кодировке - может в прошлом веке такое было возможно, сейчас у всех и везде будет utf, где этот фокус не получится)

     
     
  • 7.27, Аноним (-), 02:23, 23/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > The important thing to realize here is that PDO by default does NOT do true prepared statements. It emulates them (for MySQL). Therefore, PDO internally builds the query string, calling mysql_real_escape_string() (the MySQL C API function) on each bound string value.

    Ты читать не умеешь?

     
  • 7.31, angra (ok), 12:06, 23/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Нет там речь именно о PHP. Только непонятно, почему задокументированную фичу PDO оппонент считает ошибкой.
     
     
  • 8.36, Аноним (-), 14:19, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Непонятно с чего оппонент пытается выдать PDO за честные prepared statements, хо... текст свёрнут, показать
     
  • 4.24, all_glory_to_the_hypnotoad (ok), 22:15, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    внезапно, под капотом всё равно может оказаться склеивание строк где тоже можно накосячить.
     
  • 2.14, angra (ok), 15:39, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ... прошло 22 года с первого релиза похапе. В написанном на нём
    > софте всё ещё находили детские уязвимости...

    То ли дело С, которому уже скоро полтиник стукнет, а младенческие null pointer dereference и buffer overflow всё никуда не деваются.

     
     
  • 3.17, _ (??), 15:58, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А они - не младенческие! Это ошибки настоящих мужиков, а не простиоспЫдя рубиков каких нить или пыхеров :) Такие и в песочнице, девочкам, показать не стыдно! :-р
     
  • 3.28, Аноним (-), 04:27, 23/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > а младенческие null pointer dereference и buffer overflow всё никуда не деваются.

    Потому что головой надо думать а не другим местом. Это, кстати, ко всем языкам относится.

     
     
  • 4.30, angra (ok), 12:02, 23/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это ты сейчас мощно всех программистов на С обдал. Оказывается они головой не думают, раз делают такие ошибки. Но ты то конечно не такой, ты ведь уже написал ядро аналогичное линукс без единой ошибки такого рода и вот-вот его всем покажешь, правда?
     

  • 1.16, vitalif (ok), 15:55, 22/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Господа а объясните мне кто-нибудь в чём суть дыры была?

    А то я полез в коммит и не очень понял суть фикса. Похоже они добавили очистку user preferenc'ов перед сохранением в базу.

    Но то что у них там был injection говорит видимо о том, что они потом где-то в голом виде без экранирования в запросах используются??? И они это не стали править???

     
  • 1.18, DmA (??), 16:23, 22/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    критическая уязвимость в Moodle позволила досрочно получить аттестаты за среднюю школу первоклассникам :)
     
     
  • 2.20, YetAnotherOnanym (ok), 18:26, 22/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Школьники же, небось, и писали. Именно для того, чтобы аттестаты досрочно получить.
     
     
  • 3.29, Аноним (-), 04:28, 23/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Школьники же, небось, и писали. Именно для того, чтобы аттестаты досрочно получить.

    Если школьники находят уязвимости и могут написать эксплойт - я спокоен за это поколение.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру