使用流行的Moodle学习管理系统的组织应尽快部署最新补丁,因为它们修复了可能允许攻击者接管Web服务器的漏洞。
Moodle是学校,大学和其他组织使用的开源平台,以便与互动在线课程建立网站。它使用来自234个国家的超过78,000个电子学习网站,共同拥有超过1亿用户。
一周前,Moodle开发人员发布了仍然支持的平台分支机构的更新:3.2.2,3.1.5,3.0.9和2.7.19。发行说明提到说“一些安全相关问题得到解决,但”但没有提供有关其性质或影响的任何其他细节。
星期一,缺陷的严重程度是明显的,当时发现漏洞的安全研究员Netanel Rubin发布了详细的博客文章。他们似乎对自己似乎过于批评,但是在组合时,它们允许攻击者在底层服务器上创建隐藏的管理帐户并在底层服务器上执行恶意PHP代码。
该漏洞利用开发人员提出的一些虚假假设,它将其描述为逻辑缺陷,对象喷射,双SQL注入和过度允许的管理仪表板。
逻辑问题源于一定功能的重新实现,而不考虑原始功能的开发人员所做的决定。据研究人员说,这是“拥有太多的代码,太多的开发人员和缺乏文件。”
“请记住,逻辑漏洞可以在几乎所有具有大代码基础的系统中发生,”Rubin说。“大代码基础的安全问题当然不是Moodle特定的。”
有点限制缺陷的影响的一个因素是利用他们需要在目标网站上的帐户。虽然考虑这些网站有多少注册用户,但这不是一个障碍。
在Moodle平台上获得的行政权限不仅危险,因为攻击者可以通过上传恶意插件或模板来安装PHP后门,而且因为Moodle安装存储有关在线课程的学生的敏感和私人信息。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。