MSA-20-0014

說明

Moodle.org 9月21日發佈 Moodle unzip 的漏洞 MSA-20-0014: Denial of service risk in file picker unzip functionality;此為使用者上傳 ZIP 壓縮檔時,沒有進行有效的檢查,可能會被利用來阻斷服務攻擊Moodle的風險。

The decompressed size of zip files was not checked against available user quota before unzipping them, which could lead to a denial of service risk.


目前 Moodle 版本 3.5 以後有此問題,官方已經推出了修正版本,這個漏洞的危險程度列為重大(serious),已建檔為 CVE-2020-25630 列管(目前尚無資料)。


建議儘快修正此問題。

解決方案

3.5以前的版本

3.5以前的版本官方已不更新;目前各學校機關皆已排程處理,詳細解決方式請聯絡我們

3.5以後的版本

解決方案為盡快升級到最新版本,目前最新版本為 3.5.143.7.8、3.8.5 and 3.9.2。詳細解決方式請聯絡我們