MSA-20-0014

說明

Moodle.org 9月21日發佈 Moodle unzip 的漏洞 MSA-20-0014: Denial of service risk in file picker unzip functionality；此為使用者上傳 ZIP 壓縮檔時，沒有進行有效的檢查，可能會被利用來阻斷服務攻擊Moodle的風險。

The decompressed size of zip files was not checked against available user quota before unzipping them, which could lead to a denial of service risk.

目前 Moodle 版本 3.5 以後都有此問題，官方已經推出了修正版本，這個漏洞的危險程度列為重大（serious），已建檔為 CVE-2020-25630 列管（目前尚無資料）。

建議儘快修正此問題。

解決方案

3.5以前的版本

3.5以前的版本官方已不更新；目前各學校機關皆已排程處理，詳細解決方式請聯絡我們。

3.5以後的版本

解決方案為盡快升級到最新版本，目前最新版本為 3.5.14、3.7.8、3.8.5 and 3.9.2。詳細解決方式請聯絡我們。