Vulnerabilità Moodle MSA-24-0044: Come Risolvere il Bypass della Password nella Lesson Activity

Introduzione:

Recentemente è stata rilevata una vulnerabilità di sicurezza che riguarda l’attività “Lesson” di Moodle. Questa vulnerabilità, identificata come MSA-24-0044, può consentire il bypass della password di protezione delle lezioni a causa di un controllo meno rigoroso nella logica di confronto delle password. Di seguito, approfondiamo i dettagli del problema e spieghiamo come procedere con l’aggiornamento di Moodle per risolverlo.

Descrizione della vulnerabilità:

Il problema riguarda versioni specifiche di Moodle, dalla 4.1 alla 4.4.2, e coinvolge l’uso di password che contengono “magic hash” (valori hash particolari che iniziano con “0e” seguiti da cifre). A causa di un confronto non sufficientemente rigoroso nel codice PHP, in alcuni casi il sistema potrebbe accettare più valori come “validi” per la password, invece di richiedere una corrispondenza esatta.

Versioni interessate:

  • Moodle 4.4 – 4.4.2
  • Moodle 4.3 – 4.3.6
  • Moodle 4.2 – 4.2.9
  • Moodle 4.1 – 4.1.12 e versioni precedenti non supportate

Versioni corrette:

  • Moodle 4.4.3
  • Moodle 4.3.7
  • Moodle 4.2.10
  • Moodle 4.1.13

Workaround temporaneo:

Se non è possibile procedere immediatamente con l’aggiornamento, è consigliato evitare l’uso di password che iniziano con “0e” seguite da cifre.

Aggiornamento Moodle:

Per risolvere questo problema, è fondamentale aggiornare Moodle a una versione corretta. Puoi seguire la procedura ufficiale di aggiornamento descritta nella documentazione di Moodle. I passi principali includono:

  1. Backup completo: Effettuare un backup di tutti i file di Moodle, inclusi i plugin, i temi e il database.
  2. Verifica dei requisiti di sistema: Assicurarsi che la versione del server e del database siano compatibili con la nuova versione di Moodle.
  3. Scaricamento della nuova versione: Scaricare l’ultima versione di Moodle dal sito ufficiale.
  4. Sostituzione dei file: Aggiornare i file di Moodle mantenendo intatti i dati personalizzati e il file di configurazione.
  5. Esecuzione dello script di aggiornamento: Eseguire lo script di aggiornamento attraverso l’interfaccia di amministrazione di Moodle.
  6. Test del sistema: Dopo l’aggiornamento, eseguire un controllo approfondito per assicurarsi che tutto funzioni correttamente.

Per una guida dettagliata, puoi consultare la documentazione ufficiale di aggiornamento di Moodle.

Contattaci per assistenza:

Se hai bisogno di assistenza per aggiornare il tuo Moodle o per garantire la sicurezza del tuo sistema, il nostro studio offre un servizio completo di aggiornamento e manutenzione. Contattaci per richiedere un preventivo e proteggere il tuo ambiente di apprendimento online.