Your browser does not support JavaScript!
國立清華大學工程與系統科學系
國立清華大學工程與系統科學系
繁體
分類清單
首頁 > 最新消息-站務及電腦Q&A
[清大計中]【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641),允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正)

教育機構ANA通報平台

發佈編號 發佈時間
事故類型 ANA-漏洞預警 發現時間 2017-03-21 00:00:00
影響等級    
[主旨說明:]【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641),允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0083

Moodle(Modular Object-Oriented Dynamic Learning Environment,模組化物件導向動態學習環境)是一款開放原始碼的學習與課程管理系統,由澳洲Martin Dougiamas採用PHP語言所設計開發的Web-Based應用系統,透過瀏覽器就可以輕鬆管理使用者、建構課程及豐富教學活動,應用在課程教學活動、員工教育訓練及學生遠距教學等。

該漏洞主要是Moodle程式碼內grade_item類別中的update方法(method)存在物件注入(Object Injection)弱點,導致攻擊者可藉由該弱點執行SQL注入獲取系統管理者權限,造成攻擊者可遠端執行任意程式碼,進而可能導致機敏資訊外洩等風險。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
Moodle 3.2至3.2.1(含)版本
Moodle 3.1至3.1.4(含)版本
Moodle 3.0至3.0.8(含)版本
Moodle 2.7.0至2.7.18(含)版本
其他已不支援版本
[建議措施:]
檢視Moodle版本,方法有以下兩種:
1. 檢視Moodle根目錄下之version.php檔
2. 若為Moodle管理者可直接在設定Setting->Site administration->Notifications中檢視Moodle版本
如所使用的Moodle版本為上述(3.2至3.2.1、3.1至3.1.4、3.0至3.0.8、2.7.0至2.7.18或已不支援)受影響之版本,請更新官方網頁所釋出最新之Moodle 3.2.2、3.1.5、3.0.9或2.7.19版本。
[參考資料:]
1. http://netanelrub.in/2017/03/20/moodle-remote-code-execution/
 
2. https://download.moodle.org/
 
3. https://download.moodle.org/releases/legacy/
 
(此通報僅在於告知相關資訊,並非為資安事件)如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組 網址:https://info.cert.tanet.edu.tw/
 
專線電話:07-5250211 網路電話:98400000 E-Mail:service@cert.tanet.edu.tw

 

瀏覽數  
將此文章推薦給親友
請輸入此驗證碼
Voice Play
更換驗證碼