用户投稿Moodle.org 5月25日发布计算题题型漏洞 MSA-18-0007: Calculated question type allows remote code execution by Question authors (Teacher creating Calculated question can intentionally cause remote code execution on server.);此漏洞有可能造成主机资料被抓取,目前 Moodle 已经推出了3.1至3.5版本各分支的修正版本,这个漏洞的危险程度列为重大(serious),已建档为 CVE-2018-1133 列管。
远端命令执行漏洞,用户通过浏览器提交执行命令,由于伺服器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程式执行环境的其他方面来执行一个恶意构造的代码。
解决方案
3.1以前的版本
包含3.0、2.9...等版本,官方已不更新;基本上就是要对计算题执行函数做过滤的问题做处理,目前各学校机关皆已排程处理,详细解决方式请联络我们。
当然,您也可以直接将计算题型关闭,也是一个方法
3.1以后的版本
解决方案为尽快升级到最新版本,目前最新版本为 3.1.15、3.3.9、3.4.6、3.5.3、3.6.0。
微信扫一扫打赏
支付宝扫一扫打赏
