此為訊息公告視窗,若您的電腦不支援script,亦不會影響您瀏覽本網站主要內容
臺中市政府教育局
:::
:::
首頁 > 公告訊息
回上一頁 回列表 回公告列表 列印列印 瀏覽次數: 96
今日公告:
文件標題 有關【資安訊息】Moodle數位學習平台疑似存在系統漏洞,請各校資安聯絡人儘速確認並進行更新,請查照。
文件編號 586-163576
公告單位 資網中心 徐敏晃 (分機: 資網分機114)
公告日期 2021-05-04 ~ 2021-08-31
文件類別 資網中心
文件內容 一、依據臺灣學術網路危機處理中心ANA資安預警第2021041304041010電子郵件通告單辦理。

二、轉知 國家資安資訊分享與分析中心 NISAC-ANA-202104-0468,
根據外部情資顯示,資安研究專家於2020年10月發現Moodle數位學習平台存在儲存式跨網站指令碼(Stored XSS)漏洞,漏洞編號為CVE-2021-20186。造成該漏洞原因為Moodle TeX功能未做資料輸入驗證,駭客可透過此漏洞將惡意程式注入課程討論區,當使用者點選課程討論文章便觸發惡意程式,根據資安研究專家測試,此漏洞可造成課程成員個人資訊洩漏、權限提權及課程成績竄改等。

Moodle官方已於2021年1月釋出安全性更新版本,包含Moodle 3.10.1、3.9.4、3.8.7及3.5.16,相關安全性更新版本至少需使用PHP 7.0以上版本,技服中心發現部分TANET用戶PHP版本低於7.0版,相關Moodle對應PHP版本如下:
● Moodle 3.10.1對應PHP版本至少7.2以上
● Moodle 3.9.4對應PHP版本至少7.2以上
● Moodle 3.8.7對應PHP版本至少7.1以上
● Moodle 3.5.16對應PHP版本至少7.0以上

建議TANET用戶比對Moodle版本是否屬已知漏洞之平台。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

三、影響平台:
● Moodle 3.10(含)
● Moodle 3.9(含)至3.9.3(含)
● Moodle 3.8(含)至3.8.6(含)
● Moodle 3.5(含)至3.5.15(含) 其他更舊版本

四、建議措施:
(一) 檢視相關資訊設備是否屬已知漏洞之平台。
(二) 建議貴單位盤點內部是否存在相關Moodle平台,並檢視是否開啟TeX功能。
(三) 官方已釋出安全性更新版本,建議貴單位內部評估影響範圍與更新之必要性。

五、參考資料:
(一)[Moodle官方漏洞說明]https://moodle.org/mod/forum/discuss.php?d=417170

(二)[CVE-2021-20186漏洞說明]https://nvd.nist.gov/vuln/detail/CVE-2021-20186

(三)[漏洞資安報告]https://www.wizcase.com/blog/moodle-vulnerability-research/

(四)[OWASP Stored XSS說明]https://owasp.org/www-community/attacks/xss/

資網中心 最近公告

檢視 IPV6 網站認證訊息(另開新視窗)

臺中市政府教育局版權所有 Copyright © 2011 - 2021. All Rights Reserved.

最佳瀏覽解析度 1024x768px. 建議使用瀏覽器 Firefox5.0以上或IE8.0以上或google chrome版本瀏覽本站.

臺中市政府教育局地址:420018 臺中市豐原區陽明街36號 【交通位置及停車資訊】【地圖】

市話總機代表號: 04-22289111 本局統一編號: 10927401 【各科室電話分機】 【教育局組織架構圖】

辦公時間:8:00-17:00,中午休息時間:12:00-13:00 ‧彈性上下班時間:8:00-8:30、13:00-13:30、17:00-17:30

【網站資訊安全及個人隱私權宣告】 【網站服務條款】

最後更新時間: 2021-05-06 19:25:06