網站公告

【漏洞預警】電子學習平台Moodle出現嚴重CSRF缺陷

 
圖資 中心的相片
【漏洞預警】電子學習平台Moodle出現嚴重CSRF缺陷
圖資 中心發表於2018年 11月 28日(Wed) 09:13
 

各位好,

轉知教育部資安訊息,詳下文,請參考。

「教育機構ANA通報平台」

發佈編號 TACERT-ANA-2018112604111919
發佈時間 2018-11-26 16:13:23
事故類型	ANA-漏洞預警	
發現時間	2018-11-23 00:00:00
影響等級	高		
[主旨說明:]【漏洞預警】電子學習平台Moodle出現嚴重CSRF缺陷,請儘速確認並進行修正
[內容說明:]
開源電子學習平臺Moodle出現跨站請求偽造漏洞,能讓使用者身分驗證後與Moodle連線的期間,被有心人士冒名操作。

這項弱點來自Moodle登入表單的安全機制,伺服器端透過authenticate_user_login( )函數,驗證使用者的請求是否合法,同時也可以一併檢查位於..coresessionmanager路徑之Token,不過,這項功能預設並未啟動。而外掛驗證工具或是內建的密碼變更模組執行時,上述的函數驗證請求的效力仍在,但缺乏Token檢驗,因此若是攻擊者加入新的組態參數$CFG->disablelogintoken,就能製造跨站請求偽造攻擊,迴避Moodle對所有表單內的Token內容偵測。

煩請各單位盡速確認是否使用該軟體,並進行版本更新以修補漏洞,等圖資中心升級MOODLE後再開啟該功能。

目前已經更新完畢漏洞已補,測驗卷功能也重新開放