分類: 行政公告, 其他公告
來源: 圖書資訊處網路管理組 - 葉惠雯 - yeh@gms.ndhu.edu.tw - 電話6741
對象: 全校教職員_全校學生
標題: 【漏洞預警】電子學習平台Moodle出現嚴重CSRF缺陷,請儘速確認並進行修正
日期: Tue, 27 Nov 2018 10:02:26 +0800

各位好,

轉知教育部資安訊息,詳下文,請參考。

「教育機構ANA通報平台」

發佈編號 TACERT-ANA-2018112604111919
發佈時間 2018-11-26 16:13:23
事故類型	ANA-漏洞預警	
發現時間	2018-11-23 00:00:00
影響等級	高		
[主旨說明:]【漏洞預警】電子學習平台Moodle出現嚴重CSRF缺陷,請儘速確認並進行修正
[內容說明:]
開源電子學習平臺Moodle出現跨站請求偽造漏洞,能讓使用者身分驗證後與Moodle連線的期間,被有心人士冒名操作。

這項弱點來自Moodle登入表單的安全機制,伺服器端透過authenticate_user_login( )函數,驗證使用者的請求是否合法,同時也可以一併檢查位於..coresessionmanager路徑之Token,不過,這項功能預設並未啟動。而外掛驗證工具或是內建的密碼變更模組執行時,上述的函數驗證請求的效力仍在,但缺乏Token檢驗,因此若是攻擊者加入新的組態參數$CFG->disablelogintoken,就能製造跨站請求偽造攻擊,迴避Moodle對所有表單內的Token內容偵測。

煩請各單位盡速確認是否使用該軟體,並進行版本更新以修補漏洞。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
 Moodle 3.5.2以前版本
Moodle 3.4.5以前版本
Moodle 3.3.8以前版本
Moodle 3.1.14以前版本
[建議措施:]
下載Moodle 3.6、3.5.3、3.4.6、3.3.9、3.1.15等修補版
[參考資料:]
1. https://moodle.org/mod/forum/discuss.php?d=378731
2. http://git.moodle.org/gw?p=moodle.git
3. https://www.auscert.org.au/bulletins/72006
4. https://securitytracker.com/id/1042154
5.https://zh.wikipedia.org/wiki/%25E8%25B7%25A8%25E7%25AB%2599%25E8%25AF%25B7%25E6%25B1%2582%25E4%25BC%25AA%25E9%2580%25A0
6. https://zh.wikipedia.org/wiki/Moodle
7. https://itw01.com/FRIYWES.html
8.http://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-63183
9. http://git.moodle.org/gw?p=moodle.git
10. http://git.moodle.org/gw?p=moodle.git
11. http://www.firnbergschulen.at/wp-content/uploads/2016/09/moodle-banner.png
12.https://www.ithome.com.tw/news/127237?fbclid=IwAR31AHltI7sITzvckc49GOh6qqZqLWO-5VsgL3XybeVqwoHaEs6cnAm0GK0
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw


網路管理組敬上
圖書資訊處

【針對此公告】   點擊數:288

 寄公告至下列信箱
      我的學校信箱 其它信箱:

 即時寄信給公告對象
      

 已批次寄出此公告,欲刪除此公告,請洽系統管理者

 


 

(只需輸入帳號,@後面不需輸入)