漏洞預警:特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641),可讓攻擊者遠端執行任意程式碼,請儘速確認並進行修正。

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0083
Moodle(Modular Object-Oriented Dynamic Learning Environment,模組化物件導向動態學習環境)是一款開放原始碼的學習與課程管理系統,由澳洲Martin Dougiamas採用PHP語言所設計開發的Web-Based應用系統,透過瀏覽器就可以輕鬆管理使用者、建構課程及豐富教學活動,應用在課程教學活動、員工教育訓練及學生遠距教學等。
該漏洞主要是Moodle程式碼內grade_item類別中的update方法(method)存在物件注入(Object Injection)弱點,導致攻擊者可藉由該弱點執行SQL注入獲取系統管理者權限,造成攻擊者可遠端執行任意程式碼,進而可能導致機敏資訊外洩等風險。

[影響平台:]
Moodle 3.2至3.2.1(含)版本
Moodle 3.1至3.1.4(含)版本
Moodle 3.0至3.0.8(含)版本
Moodle 2.7.0至2.7.18(含)版本
其他已不支援版本

[建議措施:]
檢視Moodle版本,方法有以下兩種:
1. 檢視Moodle根目錄下之version.php檔
2. 若為Moodle管理者可直接在設定Setting->Site administration->Notifications中檢視Moodle版本
如所使用的Moodle版本為上述(3.2至3.2.1、3.1至3.1.4、3.0至3.0.8、2.7.0至2.7.18或已不支援)受影響之版本,請更新官方網頁所釋出最新之Moodle 3.2.2、3.1.5、3.0.9或2.7.19版本。

[參考資料:]
1.
http://netanelrub.in/2017/03/20/moodle-remote-code-execution/
2.
https://download.moodle.org/
3.
https://download.moodle.org/releases/legacy/