運用しているmoodle(利用Moodle:3.7.x)で脆弱性検査をしたところ、下記脆弱性が発見されました。
==========
概要:
要求 URL の変更により、この Web ページのアクセス制御設定はバイパスされたようです。
これはおそらく、受け取った要求が保護リ ソースであるかどうかを Web サーバーがチェックする際の問題が原因です。
要求された URL が承認チェックの前に十分に解析されてい ない場合、通常は拒否されるはずのリソースに攻撃者がアクセスできます。
Execution:
要求された URL の承認チェックの前に、Web サーバーがそれを完全に正規化しない場合、攻撃者は承認チェックをバイパスできます。
たとえば、URL に「/./」や「/」などの文字列を追加しても、正規化後の絶対 URL は変化しませんが、
明確な URL を検索する認 証メカニズムでは不一致となります。そこで、次のように要求します。
「http://www.example.com/SomeDirectory/./SomeFile.html」または
「http://www.example.com/SomeDirectory//SomeFile.html」 これは次のように変換されます。
「http://www.example.com/SomeDirectory/SomeFile.html」
「/SomeDirectory/SomeFile.html」が保護されたリソースであり、
攻撃者が「/SomeDirectory/./SomeFile.html」を要求したと仮定します。
「/SomeDirectory/SomeFile.html」という明示的な URL のみに照 らして承認チェックが行われた場合は、攻撃者はそのリソースにアクセスできます。
==========
運用しているmoodleが古いので、セキュリティーサポート期間が長い3.9.xにアップデートしようと思っておりますが、
それで脆弱性がFixされるのかわからず困っております。
上記の対応策、もしくは脆弱性のFix状況が分かるページなどあればご教示いただけますと幸いです。