Bueno hace un tiempo publiqué algo similar con el Cron.php, esta vez el fallo viene de la programación en la tasa de refresco de los mensajes internos de Moodle.
Os dejo la URL de mi blog donde documenté el bug, no sé que versiones son las afectadas, al menos la prueba fue sobre la última versión estable de la versión 1.
http://www.enelpc.com/2011/09/ataques-ddos-automatizamos.html
Saludos!
En el caso del cron, el DDos se evita fácilmente poniendo contraseña, lo cual impide a priori, la ejecución externa. Otra cosa es que la gente no la ponga, que es la opción que viene por defecto. Por otro lado, a raíz de tener en cuanta casos como este, entre las opciones de cron existen restricciones como tiempo máximo de ejecució, periodo máximo de procesamiento y tiempo minimo entre ejecuciones. En fin, que es un punto sensible, solo se quiere que lo sea.
En cuanto a lo que nos ocupa, hay un detalle importante, y es que este bug no es accesible para atacantes externos, debes ser usuario registrado. Aunque en parte lo que se expone en el artículo del blog es correcto, la cantidad de peticiones atendida se puede alterar por configuración en el servidor, donde se especifica la cantidad de procesos que se pueden crear y la cantidad de peticiones que pueden ser atendidas por cada proceso. En resumen, en mi opinión no es tanto un bug como un error en el diseño pero sin duda se agradece que alguien preste atención a estos detalles.
PD: Voy a subir el tema al tracker, previa búsqueda, para que lo revisen.
PD2: Error notificado http://tracker.moodle.org/browse/MDL-29311, votadlo para que lo tengan en cuenta lo antes posible.
Buenos días Xavier! Gracias por tu comentario y por moverlo al tracker! Estaba visitando el enlace pero no me aparece funcionando.
Saludos!
Tranquilo, puede que haya puesto mal el enlace. En cualquier caso, la gente del equipo de desarrollo ha indicado en un comentario que se pondrá con ello tan pronto como sea posible.
