Hola a todos,
alguien (¿esta gente no tiene nada mejor que hacer durante el verano?) ha entrado en la página principal de mi sitio Moodle y ha cambiado algunas cosas. Martin ya ha me ha comunicado el problema (problemas potenciales del uso de versiones antiguas de PHP). Utilizo PHP 4.1.2 y Moodle 1.3.1.
Mi pregunta es la siguiente: ¿si actualizo a Moodle 1.3.2 sin actualizar PHP, se soluciona el problema o tengo que actualizar ambas cosas?.
Si alguien me puede contestar le estaría muy agradecido.
Saludos,
Floren.
Hola Florencio,
Moodle 1.3.2 es la solución. Incluye los controles necesarios para que el problema no sea reproducible en ninguna versión de PHP. Así que no te hace falta actualizar la versión de PHP.
En cuanto a la "gente" que ha entrado en la página principal de tu sitio, estoy totalmente de acuerdo contigo. De hecho, ahora que nadie nos oye, te diré que esa "gente" fue informada de que, en palabras textuales:
"En cuanto a las páginas que has modificado, seguramente lo que has hecho NO ES LEGAL y los administradores de las mismas se te pueden "cabrear" bastante (aunque no creo que sean capaces de saber quién lo ha hecho). Supongo que deberías dejarlas como estaban!!"
Pero parece ser que no hizo mucho caso. De hecho, insistentemente (y de buen rollito) se le solicitó información sobre "los pasos exactos para poder ponerle remedio cuanto antes de una forma global". Pero no hubo respuesta.
Así que, aunque no quería hablar del tema (y como acabo de ver otro mensaje en estos foros en el curso principal de moodle.org!!) no puedo hacer otra cosa que comentar mi disconfirmidad más absoluta por el proceder de esa "gente".
Una vez más, citando palabras textuales mías: "Me alegra que haya gente como tú, capaz de "cacharrear" y detectar problemas en Moodle para hacerlo, cada día un poquito mejor" . Pero una cosa es "cacharrear" y otra vulnerar sitios y luego, no echar una mano cuando se pide ayuda. La verdad es que no sé si es mala idea o simple inconsciencia...
Y ya puestos, como ha salido el tema, quiero agradecer públicamente la ayuda brindada por Eneko Arriaga, de eLearning WORKSHOPS que, en cuanto le comenté el problema, me suministró toda la información necesaria para poder detectar, corregir y comprobar el problema, haciendo posible la publicación de la versión 1.3.2 de forma inmediata. ¡¡Eso es ayudar!!
Y eso es todo (que no es poco). Actualizando Moodle a la versión 1.3.2 el problema desaparece y no hace falta actualizar PHP (aunque te recomiendo que, cuando puedas, lo hagas, ya que la 4.1.x es bastante antigua).
Ciao, Eloy
Moodle 1.3.2 es la solución. Incluye los controles necesarios para que el problema no sea reproducible en ninguna versión de PHP. Así que no te hace falta actualizar la versión de PHP.
En cuanto a la "gente" que ha entrado en la página principal de tu sitio, estoy totalmente de acuerdo contigo. De hecho, ahora que nadie nos oye, te diré que esa "gente" fue informada de que, en palabras textuales:
"En cuanto a las páginas que has modificado, seguramente lo que has hecho NO ES LEGAL y los administradores de las mismas se te pueden "cabrear" bastante (aunque no creo que sean capaces de saber quién lo ha hecho). Supongo que deberías dejarlas como estaban!!"
Pero parece ser que no hizo mucho caso. De hecho, insistentemente (y de buen rollito) se le solicitó información sobre "los pasos exactos para poder ponerle remedio cuanto antes de una forma global". Pero no hubo respuesta.
Así que, aunque no quería hablar del tema (y como acabo de ver otro mensaje en estos foros en el curso principal de moodle.org!!) no puedo hacer otra cosa que comentar mi disconfirmidad más absoluta por el proceder de esa "gente".
Una vez más, citando palabras textuales mías: "Me alegra que haya gente como tú, capaz de "cacharrear" y detectar problemas en Moodle para hacerlo, cada día un poquito mejor" . Pero una cosa es "cacharrear" y otra vulnerar sitios y luego, no echar una mano cuando se pide ayuda. La verdad es que no sé si es mala idea o simple inconsciencia...
Y ya puestos, como ha salido el tema, quiero agradecer públicamente la ayuda brindada por Eneko Arriaga, de eLearning WORKSHOPS que, en cuanto le comenté el problema, me suministró toda la información necesaria para poder detectar, corregir y comprobar el problema, haciendo posible la publicación de la versión 1.3.2 de forma inmediata. ¡¡Eso es ayudar!!
Y eso es todo (que no es poco). Actualizando Moodle a la versión 1.3.2 el problema desaparece y no hace falta actualizar PHP (aunque te recomiendo que, cuando puedas, lo hagas, ya que la 4.1.x es bastante antigua).
Ciao, Eloy
Muchas gracias Eloy por la información,
cuando vaya por Logroño te invito a unos vinos.
Saludos,
Floren.
cuando vaya por Logroño te invito a unos vinos.
Saludos,
Floren.
Hola,
Se ve que todos no tenemos la misma visión de los problemas, aunque si es cierto que algunos quieren ser protagonistas de los mismos.
La página de Eneko fue visitada por mí como invitado(que no hackeada), al igual que otras muchas, entre ellas la propia de moodle.org con la intención de averiguar si el problema de seguridad que tenía mi página era único o extensivo a otros.
Esa misma página fue avisada precisamente de su problema de seguridad, y si el que suscribe hubiese tenido otra intención más allá que la de la propia resolución de sus problemas y las de otros, el proceder no habría sido el mismo. Luego de mala intención nada.
Este lugar público es el mejor para que cualquiera en un sistema democrático pueda expresarse sobre intereses comunes, y no para que sea exclusivo de unos pocos. Si había un problema de seguridad, había que decirlo a la gente, y no ocultarlo. Yo esperaba que por parte de los "facilitadores" de este curso se hubiese comentado algo en los foros, pero al ver que no era así...
No ofrecí el detalle del problema porque pensé que era tan simple que cuando me sugirieron "Aunque creo que ya sé cómo lo has hecho!! Tiene que ver algo con el
cron, verdad? ya había sido detectado por los "expertos".
No me dedico a "cacharrear" y pienso que la inclusión de esa palabra en un mensaje lleva la intención de ofender. Soy docente, que no informático, y simplemente trato de hacer mi trabajo lo mejor posible. Detecté un fallo del que desconocía su dimensión y despues de llamarme chatarrero se me pidió el proceso. De ahí mi silencio y pasividad.
Desde luego, hay que ser prudentes, pues puede ser que otros "cacharreros" hayan hecho de las suyas, pues no creo que tal adjetivo se me pueda adjudicar exclusivamente a mí, ni tampoco tales intrusiones.
Bye!
Hola Juan Antonio,
Lamento profundamente que el uso de la palabra "cacharrear" en uno de los correos que nos intercambiamos, te haya dado la impresión de llevar la intención de ofender. Nada más lejos de mi intención, sinceramente.
¡¡Anda ya!!!
Silenciosa y pasivamente, ciao, Eloy
PD: Evidentemente, no pienso perder ni 10 segundos más en esta baldía discusión que, ni está justificada en este foro de Problemas Generales, ni le auguro nada productivo. Eso si, como estos foros son bastante democráticos, te invito a que continúes la discusión en el Foro Social. Aunque, como dos no discuten si uno no quiere, no esperes réplica por mi parte. Y por cierto, curiosamente, yo tampoco soy informático pero sí docente, colega!! Y, a mucha honra, me considero un gran "cacharrero" (sustantivo, que no adjetivo). Sin acrimonia.
PD2: Aunque, pensándolo bien, releyendo tu mensaje, hay ciertas acusaciones (si no he entendido mal) sobre el ocultamiento del problema, la actitud de los facilitadores, tus visitas (que no "hackeos" según tú) a algunos servidores, tus intenciones de solucionar los problemas de los demás y tu noción de la exclusividad de estos foros, que pudiera ser que necesitaran cierta discusión abierta. A lo mejor me animo a contestarte.
Lamento profundamente que el uso de la palabra "cacharrear" en uno de los correos que nos intercambiamos, te haya dado la impresión de llevar la intención de ofender. Nada más lejos de mi intención, sinceramente.
¡¡Anda ya!!!
Silenciosa y pasivamente, ciao, Eloy
PD: Evidentemente, no pienso perder ni 10 segundos más en esta baldía discusión que, ni está justificada en este foro de Problemas Generales, ni le auguro nada productivo. Eso si, como estos foros son bastante democráticos, te invito a que continúes la discusión en el Foro Social. Aunque, como dos no discuten si uno no quiere, no esperes réplica por mi parte. Y por cierto, curiosamente, yo tampoco soy informático pero sí docente, colega!! Y, a mucha honra, me considero un gran "cacharrero" (sustantivo, que no adjetivo). Sin acrimonia.
PD2: Aunque, pensándolo bien, releyendo tu mensaje, hay ciertas acusaciones (si no he entendido mal) sobre el ocultamiento del problema, la actitud de los facilitadores, tus visitas (que no "hackeos" según tú) a algunos servidores, tus intenciones de solucionar los problemas de los demás y tu noción de la exclusividad de estos foros, que pudiera ser que necesitaran cierta discusión abierta. A lo mejor me animo a contestarte.
Perdón
De que están hablando, que se puso tan caliente. Que sucede con la seguridad
Ricardo
Hola Ricardo,
hace un par de semanas se descubrió una vulnerabilidad en Moodle que permitía, en algunos servidores (concretamente aquellos funcionando bajo PHP 4.1.2) acceder directamente a algunas páginas de la configuración de Moodle sin introducir la contraseña del administrador.
Para solucionar este problema, rápidamente se publicó la versión de Moodle 1.3.2, que evita este problema de PHP 4.1.2 y Moodle (además de otras mejoras en el resto de la plataforma).
En cuanto a porqué "se puso tan caliente", seguramente todo se ha debido a un cúmulo de nervios e interpretaciones erróneas. Perdón a los que se hayan sorprendido por la "dureza" de los comentarios vertidos en esta discusión.
Me alegra poder decir que Juan Antonio y yo ya hemos arreglado nuestras diferencias (de forma privada) y que incluso nos hemos emplazado a tomar unas cervecitas cuando nos conozcamos personalmente. Así que todo solucionado.
Ciao
PD: Por cierto, que acaba de salir la versión 1.3.3 que soluciona otros dos problemillas (solo potenciales, por lo que de menor importancia que el explicado antes) de seguridad. En cualquier caso, se recomienda la actualización.
hace un par de semanas se descubrió una vulnerabilidad en Moodle que permitía, en algunos servidores (concretamente aquellos funcionando bajo PHP 4.1.2) acceder directamente a algunas páginas de la configuración de Moodle sin introducir la contraseña del administrador.
Para solucionar este problema, rápidamente se publicó la versión de Moodle 1.3.2, que evita este problema de PHP 4.1.2 y Moodle (además de otras mejoras en el resto de la plataforma).
En cuanto a porqué "se puso tan caliente", seguramente todo se ha debido a un cúmulo de nervios e interpretaciones erróneas. Perdón a los que se hayan sorprendido por la "dureza" de los comentarios vertidos en esta discusión.
Me alegra poder decir que Juan Antonio y yo ya hemos arreglado nuestras diferencias (de forma privada) y que incluso nos hemos emplazado a tomar unas cervecitas cuando nos conozcamos personalmente. Así que todo solucionado.
Ciao
PD: Por cierto, que acaba de salir la versión 1.3.3 que soluciona otros dos problemillas (solo potenciales, por lo que de menor importancia que el explicado antes) de seguridad. En cualquier caso, se recomienda la actualización.