[1060327]【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點

 

原標題:【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641),允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正

 

影響等級:

發現時間:2017-03-21 00:00:00

 

轉發教育機構ANA通報平台公告-

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0083

Moodle(Modular Object-Oriented Dynamic Learning Environment,模組化物件導向動態學習環境)是一款開放原始碼的學習與課程管理系統,由澳洲Martin Dougiamas採用PHP語言所設計開發的Web-Based應用系統,透過瀏覽器就可以輕鬆管理使用者、建構課程及豐富教學活動,應用在課程教學活動、員工教育訓練及學生遠距教學等。

該漏洞主要是Moodle程式碼內grade_item類別中的update方法(method)存在物件注入(Object Injection)弱點,導致攻擊者可藉由該弱點執行SQL注入獲取系統管理者權限,造成攻擊者可遠端執行任意程式碼,進而可能導致機敏資訊外洩等風險。

 

影響平台:

Moodle 3.2至3.2.1(含)版本

Moodle 3.1至3.1.4(含)版本

Moodle 3.0至3.0.8(含)版本

Moodle 2.7.0至2.7.18(含)版本

其他已不支援版本

 

建議措施:

檢視Moodle版本,方法有以下兩種:

1. 檢視Moodle根目錄下之version.php檔

2. 若為Moodle管理者可直接在設定Setting->Site administration->Notifications中檢視Moodle版本

如所使用的Moodle版本為上述(3.2至3.2.1、3.1至3.1.4、3.0至3.0.8、2.7.0至2.7.18或已不支援)受影響之版本,請更新官方網頁所釋出最新之Moodle 3.2.2、3.1.5、3.0.9或2.7.19版本。

 

參考資料:

1. http://netanelrub.in/2017/03/20/moodle-remote-code-execution/

2. https://download.moodle.org/

3. https://download.moodle.org/releases/legacy/

Additional information