iT邦幫忙

1

學習管理平台Moodle-測驗卷計算題可從遠端執行程式[已修補]

Moodle.org 5月25日發佈計算題題型漏洞 MSA-18-0007: Calculated question type allows remote code execution by Question authors (Teacher creating Calculated question can intentionally cause remote code execution on server.);此漏洞有可能造成主機資料被抓取,目前 Moodle 已經推出了3.1至3.5版本各分支的修正版本,這個漏洞的危險程度列為重大(serious),已建檔為 CVE-2018-1133 列管。

遠端命令執行漏洞,用戶通過瀏覽器提交執行命令,由於伺服器端沒有針對執行函數做過濾,導致在沒有指定絕對路徑的情況下就執行命令,可能會允許攻擊者通過改變 $PATH 或程式執行環境的其他方面來執行一個惡意構造的代碼。

解決方案

3.1以前的版本

包含3.0、2.9...等版本,官方已不更新;基本上就是要對計算題執行函數做過濾的問題做處理,目前各學校機關皆已排程處理,詳細解決方式請聯絡我們
當然,您也可以直接將計算題型關閉,也是一個方法

3.1以後的版本

解決方案為盡快升級到最新版本,目前最新版本為 3.1.15、3.3.9、3.4.6、3.5.3、3.6.0。


尚未有邦友留言

立即登入留言