Proyecto Eva

Unlar 2.0
Autor: Lucas Cocha
Ao 2014
Introduccin:
Instalacin y personalizacin de una nueva plataforma Moodle, mejorando la
interfaz y nuevas herramientas que brinda la ltima versin estable de Moodle.
Gran mejora de interfaz y la incorporacin de nuevas herramientas sociales para
que el entorno virtual de aprendizaje sea mucho ms agradable de trabajar tanto
para estudiantes y profesores, como as tambin la posibilidad de poder acceder
desde un telfono mvil utilizando la aplicacin oficial de Moodle.


Requisitos de servidor:
ltima versin de PHP o mnimo de PHP 5.4.4
ltima versin de servidor Web Apache o mnimo 5.5.31 de MySQL
Preferentemente Ubuntu Server 14.04 LTS o mnimo Ubuntu server 12.04
Entorno Grafico mnimo de Ubuntu Server
Entorno grafico PhpMyAdmin
Memoria RAM de 8GB mnimo 4GB
Disco rgido de 2TB (dependiendo de los aos de vida til que se desee
obtener de la plataforma virtual)


Implementacin:
Se pretende testear el funcionamiento de la plataforma y el servidor a lo
largo de 1 mes de uso por parte de profesores dispuestos a probar esta
nueva plataforma utilizando el siguiente dominio: http://eva.unlar.edu.ar
Proveer material didctico de uso de la plataforma (archivos PDF y videos
tutoriales) a profesores.
Asistencia tcnica por parte del administrador hacia los docentes y resto de
administradores de la plataforma.

Desarrollo:
Tiempo de instalacin de la plataforma: 1 semana de trabajo y extenderse a
2 semanas en casos de contingencias.
Durante el transcurso del tiempo de uso de la plataforma (mnimo 3 meses)
se puede proceder a una migracin de datos de la plataforma anterior.
Recurso humano necesario:
Administrador o encargado de Eva Unlar actual para configuracin de
subdominios y creacin de base de datos.
Administrador de Eva Unlar 2.0: El alumno Lucas Cocha ser el encargado
de la instalacin de la plataforma Moodle 2.7 como as tambin la
personalizacin de la misma en base a lo mostrado a continuacin.





























La personalizacin puede variar en base a lo que solicite la universidad.
















Vulnerabilidades de plataforma actual: Moodle 1.9.x

Se han descubierto mltiples vulnerabilidades en Moodle versiones 1.9.x, 2.0.x,
2.1.x, 2.2.x.
Las vulnerabilidades son descritas a continuacin:
La vulnerabilidad reside en un error en el manejo de los permisos de
acceso. Un atacante remoto podra revelar los detalles de usuarios
mediante una cuenta "profesor".


La vulnerabilidad reside en un error al leer las conversaciones recientes. Un
atacante remoto podra aprovechar para leer los mensajes de otros
usuarios mediante una direccin URL especialmente modificada.


La vulnerabilidad reside en un error al agregar preguntas para un examen.
Un atacante remoto podra aprovechar para aadir preguntas a un
cuestionario mediante este error que no comprueba el permiso
"question:use".


La vulnerabilidad reside en un error en el manejo de permisos de acceso en
al banco de preguntas. Un atacante remoto podra guardarse las preguntas,
mediante la explotacin de este error.


La vulnerabilidad reside en un error en el manejo de permisos de acceso.
Un atacante remoto podra editar entradas de slo lectura mediante la
explotacin de este error.


La vulnerabilidad reside en un error en el manejo de los permisos. Un
atacante remoto podra modificar los permisos de usuario mediante una
cuenta de "profesor".


La vulnerabilidad reside en que ciertas entradas guardadas de pginas wiki,
que no son verificadas correctamente antes de ser utilizados. Un atacante
remoto podra explotar este error para insertar cdigo HTML arbitrario y
cdigo script que se ejecutar en el navegador en el contexto de un sitio
afectado cuando los datos maliciosos se estn viendo.


La vulnerabilidad reside en que ciertas entradas son enviadas va
parmetro "name" a admin/webservice/service.php sin ser verificado
correctamente antes de ser devuelto al usuario. Un atacante remoto podra
ejecutar cdigo HTML arbitrario y cdigo script e el navegador de un
usuario en el contexto de un sitio afectado.


La vulnerabilidad reside en ciertas entradas pasan a blog/index.php sin ser
verificadas correctamente antes de ser devuelto al usuario. Un atacante
remoto podra ejecutar cdigo HTML arbitrario y cdigo script en el
navegador de un usuario en el contexto de un sitio afectado.


La vulnerabilidad reside en ciertas entradas que se aaden a los eventos del
calendario, donde no son verificadas correctamente antes de utilizarse en
la consultas SQL. Un atacante remoto podra manipular consultas SQL
inyectando cdigo SQL arbitrario.


La vulnerabilidad reside en ciertas entradas pasada a travs del parmetro
"IDNumber" hacia cohort/edit.php, donde no es verificado correctamente
antes de ser utilizado. Un atacante remoto podra insertar cdigo HTML
arbitrario y cdigo script que se ejecute en el navegador de un usuario en el
contexto de un sitio afectado cuando los datos maliciosos se estn viendo.


La vulnerabilidad reside en un error en el manejo de permisos de acceso.
Un atacante remoto podra sobrescribir las actividades de otros usuarios,
mediante la explotacin de este error.


La vulnerabilidad reside en un error en el manejo de permisos de acceso.
Un atacante remoto podra crear entradas de calendario mediante la
explotacin de este error.



Lnea de tiempo de apoyo de mejoras y seguridad: (Moodle de proyecto 2.7)







Proyecto Eva Unlar 2.0
Autor: Lucas Cocha
2014