Martes, 27 Noviembre 2018 09:02

ALERTA de SEGURIDAD en MOODLE: Vulnerabilidad de tipo CSRF en Moodle

Escrito por
Valora este artículo
(0 votos)
Vulnerabilidad CSRF moodle Vulnerabilidad CSRF moodle Vulnerabilidad CSRF moodle

El pasado 19 de noviembre, el equipo de desarrollo de Moodle publicó una importante alerta de seguridad en esta herramienta para la gestión de contenidos E-Learning (enlace a la publicación).

El propio INCIBE (Instituto Nacional de Ciberseguridad), clasifica esta vulnerabilidad como de Importancia: 4 - Alta.

 

 

¿En qué consiste?

La vulnerabilidad detectada se produce al no proteger la plataforma Moodle de posibles falsificaciones de solicitudes de inicio de sesión en el formulario de acceso, lo cual podría permitir a un posible atacante realizar ataques del tipo Cross-Site Request Forgery (CSRF).

Es decir el formulario de inicio de sesión de moodle de las versiones afectadas o bien el formulario de acceso personalizado que algunos de nosotros podemos tener para el acceso a nuestros campus, no están protegidos por un token que evite un ataque de tipo CSRF (Cross-Site Request Forgery). 

El Token para ingreso (Login token) es una característica relacionada con seguridad introducida en las versiones de Moodle 3.1.15, 3.3.9, 3.4.6, 3.5.3 y 3.6.0. Ayuda a proteger en contra de un rango de vulnerabilidades, tales como el robo de la sesión de otro usuario, vía el formato para ingresar al sitio.

A partir de estas versiones mencionadas, todos los formatos (formularios) para ingreso al sitio deben incluir un nuevo campo de token para ingreso, que se envía junto con el nombre_de_usuario y la contraseña. Todos los intentos de ingresar al sitio sin el token proporcionado para ingreso serán rechazados.

 

¿A qué versiones de Moodle afecta?: 

  • Desde 3.5 hasta 3.5.2
  • Desde 3.4 hasta 3.4.5
  • Desde 3.3 hasta 3.3.8
  • Desde 3.1 hasta 3.1.14
  • Versiones anteriores no soportadas

 

Lo más importante: la Solución: 

Actualizar a las siguientes versiones:

También está disponible para su instalación la versión en desarrollo de Moodle 3.6, si bien aún no se ha liberado de manera estable.

 

Toda la información sobre esta brecha de seguridad la podemos encontrar en el sitio web de Moodle o en la página de INCIBE:

 

A modo de conclusión,

Si tu plataforma E Learning Moodle utiliza un formulario de inicio de sesión personalizados, es posible que tengas que realizar algunos pequeños cambios antes de actualizar a las últimas versiones estables (o a la versión 3.6 que se publica la próxima semana), para evitar que los usuarios queden potencialmente bloqueados fuera de su sitio.

Si no usas formularios de inicio de sesión personalizados, es importante actualices moodle a la última versión estable 3.5.3, y en breve a moodle 3.6.

 

NOTA INFORMATIVA PARA NUESTROS CLIENTES

Para todos los clientes que tienen con nosotros el plan de mantenimiento, ya se ha programado para entre esta semana y la próxima, la actualización de los campus a la última versión estable de Moodle, que corrige esta vulnerabilidad.

 

Visto 138 veces Modificado por última vez en Martes, 27 Noviembre 2018 09:31

Deja un comentario

Asegúrese de introducir toda la información requerida, indicada por un asterisco (*). No se permite código HTML.