Moodles Sicherheitslücke und Apaches Freundlichkeit

Standardmäßig wird bei Apache eine index.html oder index.php Datei ausgeführt, soweit sie im jeweiligen Verzeichnis vorhanden ist. Apache ist sehr freundlich und bietet standardmäßig auch ein Feature, das eine Übersicht aller vorhandenen Dateien von einem Verzeichnis im Webbrowser anzeigt falls keine Indexdatei vorhanden ist. Doch Apache kann manchmal zu freundlich sein, denn dieses Feature kann auch sehr unangenehm werden, vor allem wenn es um vertrauliche Daten geht. So hat OSZ IMT, Berlins größtes Oberstufenzentrum für Informationstechnik dieses Feature auf dem Server aktiviert und lässt somit auf viele Dateien auf dem Server einsehen. Vor allem ist diese gravierende Sicherheitslücke den Schülern bei dem Kursmanagementsystem bzw. der Lernplattform Moodle aufgefallen. Der Moodle-Beauftragte und andere IT-Lehrer wurden von den Schülern schon vor einem halben Jahr über diese Panne mehrfach belehrt, trotz dessen hat sich nichts verändert. Es bleibt nur darauf zu hoffen, dass die Moodle-Verantwortlichen den Apache Server ordentlich konfigurieren und somit diese Sicherheitslücke schließen oder die Schüler ausdrücklich darüber unterrichtet werden, dass Sie keine privaten Daten in den Chats veröffentlichen, keine Profilbilder hochladen oder in einem anderem Upload-Bereich private Daten freigeben. Doch nicht nur die, die für den Server verantwortlichen, sind an dieser Panne schuld. Vorbildlich wurde es zum Beispiel beim CMS Joomla gelöst. Man hat dort alle Ordner standardmäßig mit einer leeren index.html versehen und somit ist diese Sicherheitslücke unabhängig von der Apache-Konfiguration immer gestopft. Das wäre von Moodle auch zu erwarten. In wie fern die php Dateien in den Unterverzeichnissen bei Moodle gesichert sind vor Angriffen ist noch unbekannt.

Artikel teilen via :