Hoy comencé la mañana con 6 anuncios de seguridad de Moodle en mi casilla de correo. Entre los anuncios se reportan dos vulnerabilidades graves como lo son CSRF (Cross-Site Request Forgery) y Reflected XSS (Reflected Cross Site Scripting).

En este artículo voy a explicar cómo suscribirse a las alertas de seguridad de Moodle, para estar al tanto de las vulnerabilidades descubiertas y mantener nuestra instalación actualizada.



Moodle (Modular Object-Oriented Dynamic Learning Environment) es una plataforma libre para e-learning (Virtual Learning Environment). Se trata de una aplicación web para implementar un ambiente educativo virtual y un sistema de gestión de cursos, la primera versión fue lanzada el 20 de agosto de 2002. Permite que los educadores puedan crear comunidades de aprendizaje en línea. Este tipo de plataformas tecnológicas también se conoce como LCMS (Learning Content Management System).

Según el sitio oficial de Moodle, ellos tratan los problemas de seguridad muy seriamente. A pesar de que dedican mucho tiempo diseñando el código para evitar problemas de seguridad, es inevitable que se descubran vulnerabilidades. La política de disclosure de Moodle es responsable en el sentido de que revelan todos los problemas de seguridad encontrados, pero sólo una vez que han sido parchados y los usuarios registrados han tenido tiempo para actualizar o parchar sus instalaciones.

El sitio oficial de Moodle posee una sección dedicada a los anuncios de seguridad:

Security Announcements

Para recibir los anuncios de seguridad de Moodle por correo electrónico es necesario registrar una cuenta de usuario. Para ello utilizar el botón "Log In":

Presionar "Create new account", completar el formulario y confirmar el registro vía mail.

Una vez finalizado el registro, ingresar al sitio con la cuenta recién creada y acceder nuevamente a la página Security Announcements:

Para recibir los anuncios por correo electrónico, acceder al enlace "Suscribe to this forum" y confirmar la suscripción presionando "Continue":

Cada vez que haya un nuevo anuncio de seguridad, seremos notificados por correo electrónico a la casilla de correo utilizada durante la creación de la cuenta de usuario. Por ejemplo, hoy recibí 6 anuncios de seguridad en mi casilla:

El anuncio incluye el tipo y descripción de la vulnerabilidad, junto con el nivel de riesgo asociado y versiones afectadas. Por ejemplo la vulnerabilidad MSA-14-0014: Cross-site request forgery possible in Assignment posee un riesgo (o severidad) alto y afecta a las versiones 2.6 a 2.6.2, 2.5 a 2.5.5, 2.4 a 2.4.9 y versiones previas no soportadas.

Si la versión de nuestra instalación está afectada por alguna vulnerabilidad de alto riesgo, es fuertemente recomendable actualizarla lo antes posible. En la página Administration via command line de la documentación oficial de Moodle se explica cómo actualizar Moodle desde la línea de comandos en simples pasos.

Para estar al tanto de las últimas novedades y anuncios de seguridad de Moodle, también es posible suscribirse al feed RSS o seguir a @moodlesecurity en Twitter.


Tal vez pueda interesarte


Compartí este artículo