Wir informieren Sie heute über die anstehenden Sicherheitsupdates für unsere Moodle-Systeme (Release vom 9. Februar 2026 sowie ein ergänzender Bugfix-Patch).
Zeitplan der Aktualisierungen: Die Updates werden planmäßig in der Nacht von Sonntag auf Montag eingespielt, um die Beeinträchtigungen im laufenden Betrieb so gering wie möglich zu halten.
Unsere Strategie: Versionen 4.5.10 und 5.0.6 Aufgrund der bekannten Bug-Berichte im Quiz-Modul der Version 5.1 pausieren wir dieses Upgrade weiterhin und bringen die bestehenden Systeme stattdessen auf den aktuellsten Sicherheits- und Stabilitätsstand:
- Moodle LMS (4.5): Aktualisierung auf Version 4.5.10.
- Moodle LMS (5.0): Aktualisierung auf Version 5.0.6.
Hinweis zu Moodle Workplace (MWP): Systeme auf Basis von Moodle Workplace verbleiben aktuell noch auf der Version 5.0.4. Hierzu liegen uns seitens Moodle HQ derzeit noch keine weiterführenden Informationen oder entsprechenden Release-Pakete vor. Wir gehen davon aus, dass dort noch spezifische Punkte geklärt werden müssen, bevor die neue Version für Workplace freigegeben wird. Sobald uns hier Neuigkeiten vorliegen, werden wir Sie umgehend informieren.
Zusammenfassung der Sicherheitskorrekturen Die behobenen Schwachstellen der aktuellen Release-Woche wurden insgesamt als „Serious“ eingestuft:
- Remote Code Execution (RCE) via Dateiwiederherstellung: Bei der Wiederherstellung von Kursdateien bestand das Risiko, dass bösartiger Code serverseitig ausgeführt werden konnte. Die Funktion wurde grundlegend überarbeitet, um diese potenzielle Code-Ausführung zu blockieren.
- RCE-Schutz im TeX-Filter (Admin-Einstellung): Eine Schwachstelle in den Einstellungen des TeX-Notationsfilters erforderte eine verbesserte Validierung. Betroffen waren Installationen mit aktiviertem TeX-Filter und ImageMagick.
- Denial-of-Service (DoS) im TeX-Formeleditor: Es wurden Ausführungszeitbegrenzungen implementiert, um eine Überlastung der Serverressourcen durch speziell konstruierte TeX-Eingaben zu verhindern.
- Command-Injection im Symfony-Process-Modul (Windows): Durch ein Update dieser externen Komponente wurde ein Sicherheitsrisiko auf Windows-basierten Systemen eliminiert.
- Zusatz-Patch (MDL-87892): Korrektur eines Fehlers, der bei bestimmten Drittanbieter-Themes (z. B. "Moove") den Zugriff auf die Website-Administration blockieren konnte.
Diese Maßnahmen dienen der Sicherheit Ihrer Daten und gewährleisten einen stabilen Betrieb Ihrer Lernplattform.