發布編號

TACERT-ANA-2017032701030000

發現時間

2017-03-21 00:00:00

發佈時間

2017-03-27 13:37:01

事故類型

ANA-漏洞預警

影響等級

中

主旨說明

【漏洞預警】特定版本Moodle平台存在PHP物件注入(Object Injection)弱點(CVE-2017-2641)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行修正

內容說明

[內容說明]:

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0083

Moodle(Modular Object-Oriented Dynamic Learning Environment，模組化物件導向動態學習環境)是一款開放原始碼的學習與課程管理系統，由澳洲Martin Dougiamas採用PHP語言所設計開發的Web-Based應用系統，透過瀏覽器就可以輕鬆管理使用者、建構課程及豐富教學活動，應用在課程教學活動、員工教育訓練及學生遠距教學等。

該漏洞主要是Moodle程式碼內grade_item類別中的update方法(method)存在物件注入(Object Injection)弱點，導致攻擊者可藉由該弱點執行SQL注入獲取系統管理者權限，造成攻擊者可遠端執行任意程式碼，進而可能導致機敏資訊外洩等風險。

影響平台

建議措施

檢視Moodle版本，方法有以下兩種：
1. 檢視Moodle根目錄下之version.php檔
2. 若為Moodle管理者可直接在設定Setting->Site administration->Notifications中檢視Moodle版本
如所使用的Moodle版本為上述(3.2至3.2.1、3.1至3.1.4、3.0至3.0.8、2.7.0至2.7.18或已不支援)受影響之版本，請更新官方網頁所釋出最新之Moodle 3.2.2、3.1.5、3.0.9或2.7.19版本。

參考資料

備註