Hallo,
ohne Anmeldung kann auf die Schülerdateien zugegriffen werden. Man muss einfach die Internetadresse mit dem Pfad zur Datei angeben, vom Prinzip also so:
http://moodledomain.de/file.php/!kursnummer!/moddata/assignment/!aufgabennummer!/!benutzernummer!/!dateiname!
das kann doch nicht sein. Ich habe Moodle 1.5 installiert.
Probiert das doch auch mal bitte bei euch aus.
Markus
Als Antwort auf Markus Asmuth
Re: Sicherheitslücke: Ohne Anmeldung Zugriff auf Schülerdateien
von Maik Riecken -
Hallo,
Liegt vielleicht das /moddata Verzeichnis bei euch unterhalb des Moodlestammverzeichnisses? Dann wäre es über eine URL zu erreichen und der oben beschriebene Trick sehr leicht möglich.
Wenn das bei euch so ist, dann sitzt das Sicherheitsproblem vor dem Computer desjenigen, der das Moodlesystem aufgesetzt hat. /moddata ist standardmäßig für "others" schreibbar (Rechte 777), was ansich schon schlecht und in einer änständigen Konfiguration (z.B. php_cgi + fastcgi), die ich von sicherheitsbewussten, professionellen Dienstleistern erwarte, auch gar nicht nötig ist. Bei einer solchen Konfiguration liegt in meinen Augen grobe Fahrlässigkeit vor.
Was hindert mich denn als Schüler daran, im Rahmen eines Forenbeitrages eine Datei boeses_script.php hochzuladen und dann via URL ausführen. Ein "include config.php" reicht z.B., um an sämtliche Passworte zu gelangen.
Ich bezweifle sogar, ob im Falle eines Einbruchs dieses System überhaupt als "gesichert" angesehen würde - d.h. eine destruktive Handlung rechtlich auch geahnded wird.
Wie gesagt: Das gilt, wenn das /moddata-Verzeichnis innerhalb des Moodleverzeichnisses angelegt wurde. Ich sehe solche Konfiguration leider immer wieder... Das ist wirklich eine simple Sache, das zu ändern.
Wenn das nicht so ist, dann solltest du das dringend in den Bugtracker von Moodle (moodle.org) einpflegen.
Frag mal gleich deinen Provider, mit welchen Methoden er den nicht aktivierten safe_mode konkret absichert. Wenn er dazu nichts sagt: Wechseln!
Gruß,
Maik
PS: Ich halte meine Systeme auch für unsicher....
Wenn das bei euch so ist, dann sitzt das Sicherheitsproblem vor dem Computer desjenigen, der das Moodlesystem aufgesetzt hat. /moddata ist standardmäßig für "others" schreibbar (Rechte 777), was ansich schon schlecht und in einer änständigen Konfiguration (z.B. php_cgi + fastcgi), die ich von sicherheitsbewussten, professionellen Dienstleistern erwarte, auch gar nicht nötig ist. Bei einer solchen Konfiguration liegt in meinen Augen grobe Fahrlässigkeit vor.
Was hindert mich denn als Schüler daran, im Rahmen eines Forenbeitrages eine Datei boeses_script.php hochzuladen und dann via URL ausführen. Ein "include config.php" reicht z.B., um an sämtliche Passworte zu gelangen.
Ich bezweifle sogar, ob im Falle eines Einbruchs dieses System überhaupt als "gesichert" angesehen würde - d.h. eine destruktive Handlung rechtlich auch geahnded wird.
Wie gesagt: Das gilt, wenn das /moddata-Verzeichnis innerhalb des Moodleverzeichnisses angelegt wurde. Ich sehe solche Konfiguration leider immer wieder... Das ist wirklich eine simple Sache, das zu ändern.
Wenn das nicht so ist, dann solltest du das dringend in den Bugtracker von Moodle (moodle.org) einpflegen.
Frag mal gleich deinen Provider, mit welchen Methoden er den nicht aktivierten safe_mode konkret absichert. Wenn er dazu nichts sagt: Wechseln!
Gruß,
Maik
PS: Ich halte meine Systeme auch für unsicher....
Als Antwort auf Maik Riecken
Re: Sicherheitslücke: Ohne Anmeldung Zugriff auf Schülerdateien
von Andreas Grabs -
Hallo Maik,
ich habe auch schon mit Installationen gearbeitet, bei denen das Moodledata-Verzeichnis im wwwroot liegt. Manchmal gibt es keine andere Möglichkeit. Damit trotzdem kein Zugriff erfolgen kann habe ich einfach eine .htaccess in das moodledata-Verzeichnis getan. Innerhalb von Moodle erfolgt der Zugriff ja über die file.php. Die verhindert übrigens auch das Ausführen von php-code.
Andreas
ich habe auch schon mit Installationen gearbeitet, bei denen das Moodledata-Verzeichnis im wwwroot liegt. Manchmal gibt es keine andere Möglichkeit. Damit trotzdem kein Zugriff erfolgen kann habe ich einfach eine .htaccess in das moodledata-Verzeichnis getan. Innerhalb von Moodle erfolgt der Zugriff ja über die file.php. Die verhindert übrigens auch das Ausführen von php-code.
Andreas
Als Antwort auf Andreas Grabs
Re: Sicherheitslücke: Ohne Anmeldung Zugriff auf Schülerdateien
von Maik Riecken -
Hallo Andreas,
Warum gibt es keine andere Möglichkeit? Es muss! Es ist nur ein ganz klein wenig unbequem bei der Installation. Wenn man moodle als FTP-Ersatz missbraucht (auch nicht so prickelnd in meinen Augen), mag das Anwendungsfälle geben...
Poste mal auf http://www.rootforum.de , was dort von einem Verzeichnis mit Rechten 777 im wwwroot gehalten wird - wenn ich nicht kompetent bin - da sitzen Leute, die Server professionell aufsetzen. Mir ist kein Szenario bekannt, wo Moodle dann den Dienst verweigern könnte
Mit der .htaccess-Datei bist du noch längst nicht so sicher wie außerhalb des wwwroots. Erfasst du in der .htaccess im übrigen auch alle möglichen CGIs? Wer sagt dir, dass dein Serverbetreiber CGIs nicht überall zulässt, weil es eben bequem für die Nutzer ist...
Gruß,
Maik
Als Antwort auf Maik Riecken
Re: Sicherheitslücke: Ohne Anmeldung Zugriff auf Schülerdateien
von Andreas Grabs -
Hallo Maik,
in gewisser Hinsicht hast du ja Recht. Wer moodle professionell betreiben will, sollte sich auch einen Provider suchen, der alle Möglichkeiten bietet.
Es gibt aber auch User, die einfach nur Moodle testen wollen und von daher nur ein einfaches Hostingpaket nutzen. Dort kommt es teilweise vor, dass das wwwroot auch das ftproot ist und das die open_base_dir-Restriktion den Zugriff nur auf das wwwroot zulässt. In dieser Konfiguration kann kein Verzeichnis außerhalb von wwwroot eingerichtet werden.
Wenn ein Webserver .htaccess unterstützt, was sollte daran nicht sicher sein?
Andreas
in gewisser Hinsicht hast du ja Recht. Wer moodle professionell betreiben will, sollte sich auch einen Provider suchen, der alle Möglichkeiten bietet.
Es gibt aber auch User, die einfach nur Moodle testen wollen und von daher nur ein einfaches Hostingpaket nutzen. Dort kommt es teilweise vor, dass das wwwroot auch das ftproot ist und das die open_base_dir-Restriktion den Zugriff nur auf das wwwroot zulässt. In dieser Konfiguration kann kein Verzeichnis außerhalb von wwwroot eingerichtet werden.
Wenn ein Webserver .htaccess unterstützt, was sollte daran nicht sicher sein?
Andreas
Als Antwort auf Andreas Grabs
Re: Sicherheitslücke: Ohne Anmeldung Zugriff auf Schülerdateien
von Maik Riecken -
Hallo Andreas,
Du hast völlig Recht, dass man da differenzieren muss (Anwender/Profi) und das tue ich ja auch. Mir geht es nur auch darum, ein gewisses Bewusstsein für zu schaffen. Moodle enthält sehr viele potentiell äußerst sensible Daten und ist mir sicherheitstechnisch schon mehrfach aufgefallen (wir haben hier ein paar sehr fitte Schüler...). Alle diese Dinge wurden mittlerweile gefixt - ich bin dadurch recht übersensibel geworden *g*. Bei einem Provider oder Dienstleister, der dafür "richtiges" Geld nimmt, kann man natürlich auch mehr in diese Richtung erwarten.
Gruß,
Maik
Du hast völlig Recht, dass man da differenzieren muss (Anwender/Profi) und das tue ich ja auch. Mir geht es nur auch darum, ein gewisses Bewusstsein für zu schaffen. Moodle enthält sehr viele potentiell äußerst sensible Daten und ist mir sicherheitstechnisch schon mehrfach aufgefallen (wir haben hier ein paar sehr fitte Schüler...). Alle diese Dinge wurden mittlerweile gefixt - ich bin dadurch recht übersensibel geworden *g*. Bei einem Provider oder Dienstleister, der dafür "richtiges" Geld nimmt, kann man natürlich auch mehr in diese Richtung erwarten.
Gruß,
Maik
Als Antwort auf Markus Asmuth
Re: Sicherheitslücke: Ohne Anmeldung Zugriff auf Schülerdateien
von Andreas Grabs -
Hallo Markus,
ich habe es bei mir getestet. Es kommt jedes Mal der Login. Vielleicht hast du in deinem Kurs den Zugriff für Gäste aktiviert.
Andreas
ich habe es bei mir getestet. Es kommt jedes Mal der Login. Vielleicht hast du in deinem Kurs den Zugriff für Gäste aktiviert.
Andreas
Als Antwort auf Markus Asmuth
Re: Sicherheitslücke: Ohne Anmeldung Zugriff auf Schülerdateien
von Markus Asmuth -
Hallo,
das moddata-Verzeichnis liegt oberhalb des Dokumentenverzeichnisses des Webservers. Mich wundert, dass die Datei über das Skript file.php zurückgeliefert wird. Werde mir später mal selbst in Ruhe Gedanken machen, da es ja bei euch scheinbar nicht auftritt.
Der Login für Gäste ist übrigens deaktiviert.
Markus
das moddata-Verzeichnis liegt oberhalb des Dokumentenverzeichnisses des Webservers. Mich wundert, dass die Datei über das Skript file.php zurückgeliefert wird. Werde mir später mal selbst in Ruhe Gedanken machen, da es ja bei euch scheinbar nicht auftritt.
Der Login für Gäste ist übrigens deaktiviert.
Markus