Guten Tag,
in dieser Woche wurde ein neues Update für Moodle veröffentlicht (3.0.4). Regulär werden solche Updates alle zwei Monate bereitgestellt. In vielen Fällen gibt es innerhalb dieser Updates auch sicherheitsrelevante Verbesserungen. Meist handelt es sich um Lücken, die man schließt. So wird ein Zugriff auf Moodle-Systeme durch Unbefugte von aussen oder den unbefugten Zugriff durch eingelogge Nutzer auf Daten, die sie nicht sehen sollen, verhindert.
Die Core-Entwickler nehmen diesen Aspekt sehr ernst und das finde ich gut so. In Deutschland ist inzwischen sogar gesetzlich verankert, dass Betreiber von Plattformen das Mögliche tun müssen, um einen unberechtigten Zugriff auf ihre Systeme zu verhindern. Dazu gehören https-Verschlüsselung und die zeitnahe Aktualisierung der Systeme werden (Sicherheits-)Patches vorliegen.
Sicherheit muss jederzeit gewährleistet sein. Ich erfahre in meinem Alltag immer wieder von Moodle-Systemen, die nur einmal im Jahr (z.B. zum Schuljahrswechsel oder nach dem Sommersemester) auf Nummer sicher gebracht werden und upgedatetet werden. Gleiches gibt es leider auch bei Behörden oder Unternehmen, die Moodle nutzen. Dieses bedeutet, dass es mittlerweile mehrere gelöste Sicherheitslücken gibt und das eigene System 'sperrangelweit' offen da steht.
Niemand käme auf die Idee, den Hinweis die Kellertür wäre nicht abgeschlossen mit dem Hinweis zu beantworten, man würde in drei Monaten einen Rundgang machen und dann schon abschließen. Es kann nur eine Antwort geben: Sicherheitsupdates sind Pflicht. Und zwar zeitnah.
Alle Administratoren können sich benachrichtigen lassen. Dazu wird das eigene System einfach bei Moodle registriert. Man erhält dann immer Informationen wenn Updates vorliegen. Das ist zumeist eine E-Mail in zwei Monaten.
Manche Admins argumentieren, mit neuen Versionen kommen auch neue Funktionen. Das führt zu weiterem Aufwand. Hier muss man unterscheiden: Die (Sicherheits-)Updates erfolgen zweimonatlich. Alle sechs Monate werden neuen Versionen veröffentlicht auf die man upgraden kann. Nur diese enthalten neuen Funktionen. Mit den zweimonatlichen Updates gibt es Fehlerkorrekturen im Code, aber keine Änderungen bei Funktionen. Das wird tatsächlich seit Jahren so praktiziert.
In manchen Situationen sind auch halbjährliche Upgrades zu häufig. Ich habe selber über sehr lange Zeit mit dem Core Team das Thema einer lange Zeit gepflegten Version von Moodle diskutiert. Mit Moodle 2.7 wurde dann erstmals eine LTS-Version (LTS = Long Time Supported) veröffentlicht. Für Moodle 2.7 haben die Coreentwickler zugestimmt für drei Jahre Sicherheitsupdates bereitzustellen. Dafür bin ich sehr dankbar. Man muss anerkennen, dass die Entwickler dadurch deutlich mehr Aufwand haben wenn Probleme nicht nur in einer, sondern in drei oder vier Versionen erkannt und gelöst werden müssen. Sie können nämlich die gleiche Lösung nicht immer überall verwenden und müssen es für jede Version auch sorgfältig testen.
Mit Moodle 3.1, das noch in diesem Monat veröffentlicht wird, gibt es eine neue LTS Version. Die Pflege für Sicherheitsfragen wird auch hier über drei Jahre erfolgen. Unter https://docs.moodle.org/dev/Releases ; kann man immer sehr schön verfolgen welche Version wie lange gepflegt wird.
Für alle, die sich früher für 2.7 entschieden haben und auch künftig eine langfristige gepflegte Version nutzen wollen, stehen jetzt die Überlegungen zum Upgrade an. Der Übergangszeitraum ist sehr grosszügig gewählt. Moodle 2.7 erhält Sicherheitsupdates bis Mai 2017. Moodle 3.1 wird im Mai 2016 veröffentlicht und bis Mai 2019 gepflegt.
Wie viele hier wissen bietet unser Unternehmen eLeDia als Moodle Partner das Hosting und die Wartung von Moodle-Systemen an. Es gehört bei uns zum Standard, die Sicherheitsupdates sofort umzusetzen. Meine Kollegen haben daher in dieser Woche über 500 Systeme aktualisiert. Das ist keine leichte Aufgabe und ich bin beeindruckt wie sie diese Prozesse handhaben auch wenn viele Systeme ganz individuelle Komponenten enthalten.
Ralf Hilgenstock