• IT-Karriere:
  • Services:

E-Learning: Schwachstelle in Lern-Software Moodle

Die freie Lernplattform Moodle wies über Jahre eine Sicherheitslücke auf, mit der unter bestimmten Bedingungen Noten manipuliert werden konnten.

Artikel veröffentlicht am , Manuel Bauer
Mit den entsprechenden Kenntnissen konnten Schüler via Moodle ihre Noten manipulieren.
Mit den entsprechenden Kenntnissen konnten Schüler via Moodle ihre Noten manipulieren. (Bild: Lisa Maree Williams/Getty Images)

Der IT-Sicherheitsexperte Ata Hakcil des Unternehmens Wizcase hat in der Software der weit verbreiteten Lernplattform Moodle eine Schwachstelle aufgedeckt. Die mittlerweile behobene Sicherheitslücke ermöglichte es Schülern und Studenten zumindest theoretisch, unbemerkt fremde Accounts zu kapern und so unter anderem ihre eigenen Schulnoten zu manipulieren.

Stellenmarkt
  1. Pure11 Handelsgesellschaft mbH, Grünwald
  2. Bank of Scotland, Berlin Mitte

Möglich machte das ein Programmfehler in der 2014 veröffentlichten Version 2.8. Dazu musste allerdings der standardmäßig nicht aktivierte TeX-Filter eingesetzt werden, mit dem Sonderzeichen und mathematische Formeln dargestellt werden können. Diese wurden nicht korrekt codiert und ermöglichten es, Programmbefehle über den in Moodle integrierten Textchat zu versenden.

Die Befehle wurden anschließend im Browser des Empfängers ausgeführt. War der Nachrichtenempfänger ein Administrator oder eine Lehrkraft, konnten Javascript-Befehle mit deren Berechtigung in Moodle abgesetzt werden. Eine sogenannte Cross-Site-Scripting-Sichereheitslücke (XSS).

Da der TeX-Filter laut Hakcil jedoch häufig für die Umwandlung von mathematischen Formeln genutzt wird, geht der Experte davon aus, dass er insbesondere an Universitäten häufig aktiviert war. Manipulationen seien allerdings nur innerhalb der jeweiligen Moodle-Installation möglich gewesen, so dass zumindest globale Angriffe ausgeschlossen waren. Hakcil entdeckte die Sicherheitslücke (CVE-2021-20186) im Oktober 2020. Das Problem wurde bereits im Januar mit den Versionen 3.10.1, 3.9.4, 3.8.7 und 3.5.16 behoben.

Vielfältige Missbrauchsmöglichkeiten

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Die Liste der Missbrauchsmöglichkeiten ist laut Hakcil lang. Neben der gezielten Manipulation von Schulnoten hätten Schüler und Studenten Testaufgaben vorab einsehen, Schulaufgaben kopieren und Nachrichten in fremdem Namen versenden können. Ob es tatsächlich jemals zum Missbrauch der Schwachstelle kam, ist nicht bekannt.

Erst im Januar 2021 hatten Schüler Moodle in mehreren Bundesländern durch DDoS-Angriffe lahmgelegt. Die Lernplattform wird in Deutschland im Zuge der Coronapandemie verstärkt für den Fernunterricht genutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 48,99€
  2. 5,29€
  3. 42,99€

mambokurt 08. Apr 2021 / Themenstart

Noten stehn im Klassenbuch ;)

klick mich 08. Apr 2021 / Themenstart

<°(((((><

Kommentieren


Folgen Sie uns
       


Übersetzung mit DeepL - Tutorial

Wir zeigen im Video, wie die Windows-Version des Übersetzungsprogramms DeepL funktioniert.

Übersetzung mit DeepL - Tutorial Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /