Om de twee maanden brengt Moodle updates uit voor kwetsbaarheden die gevonden en opgelost zijn. Normaal gesproken gaat dit vrij ongemerkt voorbij. Dit keer was er echter wat meer aandacht door een artikel op security.nl In deze blog leggen wij uit hoe het proces rondom updates eruit ziet.
Wat is het proces?
In elk softwarepakket worden regelmatig kwetsbaarheden en bugs gevonden. Het maakt niet uit of de software open source (bijv. Moodle) is of closed source (bijv. Microsoft). Om die reden komen er nieuwe versies (updates) uit die je moet installeren. Bij open source software zoals Moodle is de broncode toegankelijk voor iedereen en dat heeft voor- en nadelen. Grote voordeel is dat iedere ontwikkelaar fouten in de software kan vinden en hiervan melding kan doen. Dit kan gelijk ook een nadeel zijn omdat de informatie over de gevonden fouten publiek toegankelijk is.
Moodle Tracker
Voor het meest gebruikte LMS ter wereld worden alle meldingen geregistreerd in de Moodle tracker. Meldingen worden beoordeeld en indien nodig direct opgelost. De opgeloste meldingen worden gecommuniceerd via deze pagina. Aan dit proces zie je dat het veilig houden van open source software goed werkt. Met name door de bijdrage van de wereldwijde Moodle community en het Moodle Partner netwerk.
Beveiligingsbeleid van Moodle
Om de twee maanden brengt Moodle updates uit waarin kwetsbaarheden en bugs zijn opgelost. Dit schema van updates (minor releases) wordt strak opgevolgd. Je kunt dit zien in dit overzicht. Twee keer per jaar brengt Moodle een geheel nieuwe versie uit (major release) en in oktober mogen we Moodle 4.5 verwachten.
Wat moet je nu doen?
Wat je moet doen, hangt af wie verantwoordelijk is voor de hosting. Als Avetica weten wij wanneer de nieuwe updates beschikbaar komen. Zodra een update verschijnt, gaan wij direct aan de slag met het bijwerken van de vele Moodle sites die wij hosten voor onze klanten. Elke twee maanden wordt jouw site dus zo snel mogelijk van een update voorzien.
Eigen of externe hosting
Host jij zelf je eigen Moodle site, dan is ons advies om de updates snel te installeren. Is de hosting uitbesteed aan een externe partij, dan is het zaak om de opdracht te geven updates altijd zo snel mogelijk uit te voeren. Het kan geen kwaad om te informeren wat hieromtrent het beleid is van jouw partij.
Met welke versie werk ik nu?
In je eigen Moodle site kun je als beheerder altijd vinden met welke versie je werkt. Je ziet dat terug onder Sitebeheer – Server – Omgeving.
Geen updates voor oudere versies van Moodle
Is jouw Moodle versie 4.0, 3.11 of lager? Dan zijn er geen updates meer beschikbaar omdat deze versies de status ‘einde levensduur’ hebben. Enige mogelijkheid en dringend advies is om snel te upgraden naar een nieuwe Moodle versie.
Meer weten over veiligheid in Moodle?
Misschien een open deur, maar bij de veiligheid van Moodle gaat het niet alleen om de software zelf. De server(s) waarop dit open source LMS draait moeten ook voorzien worden van updates en beveiliging.
Is de organisatie die verantwoordelijk is voor de hosting goed ingericht op informatiebeveiliging en AVG? Avetica beschikt over de ISO-27001 certificering en een ISAE 3000 rapportage. Daarin gaan wij veel verder dan de meeste Moodle hosting providers. Met meer dan 1.300.000 gebruikers in onze Moodle sites willen wij deze veiligheid ook garanderen.
