最新消息

【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行修正

發佈編號 TACERT-ANA-2017032701030000 發佈時間 2017-03-27 13:37:01
事故類型 ANA-漏洞預警 發現時間 2017-03-21 00:00:00
影響等級 中
[主旨說明:]【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行修正
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0083

Moodle(Modular Object-Oriented Dynamic Learning Environment，模組化物件導向動態學習環境)是一款開放原始碼的學習與課程管理系統，由澳洲Martin Dougiamas採用PHP語言所設計開發的Web-Based應用系統，透過瀏覽器就可以輕鬆管理使用者、建構課程及豐富教學活動，應用在課程教學活動、員工教育訓練及學生遠距教學等。

該漏洞主要是Moodle程式碼內grade_item類別中的update方法(method)存在物件注入(Object Injection)弱點，導致攻擊者可藉由該弱點執行SQL注入獲取系統管理者權限，造成攻擊者可遠端執行任意程式碼，進而可能導致機敏資訊外洩等風險。

[影響平台:]
Moodle 3.2至3.2.1(含)版本
Moodle 3.1至3.1.4(含)版本
Moodle 3.0至3.0.8(含)版本
Moodle 2.7.0至2.7.18(含)版本
其他已不支援版本
[建議措施:]
檢視Moodle版本，方法有以下兩種：
1. 檢視Moodle根目錄下之version.php檔
2. 若為Moodle管理者可直接在設定Setting->Site administration->Notifications中檢視Moodle版本
如所使用的Moodle版本為上述(3.2至3.2.1、3.1至3.1.4、3.0至3.0.8、2.7.0至2.7.18或已不支援)受影響之版本，請更新官方網頁所釋出最新之Moodle 3.2.2、3.1.5、3.0.9或2.7.19版本。
[參考資料:]
1. http://netanelrub.in/2017/03/20/moodle-remote-code-execution/
2. https://download.moodle.org/
3. https://download.moodle.org/releases/legacy/