ปิดช่องโหว่ CVE-2024-43425 สำหรับคนที่ใช้ Moodle แล้วยังไม่อยากอัปเกรดเวอร์ชัน

สวัสดีครับ

พอดีได้ข้อมูลช่องโหว่ (Vulnerability) ของระบบ Moodle มาจากเพจ ExploitWareLab ซึ่ง Ref มาจากต้นทางคือ 

https://securityonline.info/cve-2024-43425-moodle-remote-code-execution-vulnerability-poc-published/

ซึ่งถือว่าเป็นช่องโหว่ที่ร้ายแรงที่ Hacker สามารถรีโมทเข้ามาคุม Server เราได้เลย ทางแก้ไขก็คืออัปเดต/อัปเกรด เวอร์ชันของ Moodle ให้เป็นเวอร์ชันล่าสุด แต่ชีวิตมันไม่ง่ายขนาดนั้นอ่ะซิครับ บางทีเราไม่อยากอัปเดต/อัปเกรด ไม่ว่าจะด้วยเหตุผลใด ๆ ก็แล้วแต่ เช่น Hosting ที่เราเช่าอยู่มันไม่รองรับกับ PHP / Database เวอร์ชันใหม่ ดังนั้น เอาทางแก้ชั่วคราวไปใช้ก่อน ซึ่งก็คือ 

ปิดการใช้งานคำถามประเภท calculated นั่นเองงงงง ทำยังไงไปดูกัน

1. Login เข้า Admin Moodle

2. Site administration > Plugins > Question types > Manage question types

3. ที่คำถามประเภท Calculated, Calculated multichoice, Calculated simple

4. คลิกไอคอนรูป "ตา" เพื่อ ปิด (Disable) 

หมายเหตุ: ตอนที่เขียนบทความนี้ช่องโหว่นี่ยังไม่ประกาศเป็น Official ที่ CVE.ORG นะครับ

แก้ปัญหา Restore Course บน Moodle แล้วขึ้น Error "cause conflict"

 สวัสดีครับ สำหรับท่านที่ใช้ Moodle แล้วเจอปัญหาตอนสั่ง Restore Course แล้วขึ้น error ประมาณนี้ "Trying to restore user 'admin' from backup file will cause conflict" มาดูวิธีแก้กัน

1. Login เข้า Admin Moodle

2. Site administration > Courses > General import defaults

3. ตรง Allow admin conflict resolution ติ๊ก Check box ให้มีเครื่องหมายถูก

4. คลิกปุ่ม Save Change

5. ลอง Restore course อีกรอบ

Ref: https://docs.moodle.org/404/en/Course_restore

แก้ปัญหา Copy Course บน Moodle แล้วขึ้น Process Pending

สวัสดีครับ สำหรับท่านที่ใช้ Moodle แล้วเจอปัญหาตอนสั่ง Copy Course แล้วไม่สำเร็จขึ้น Process Pending อยู่นั่นแหละ ซึ่งพอมันขึ้น Process Pending ปุ๊ป ท่านจะทำอะไรไม่ได้เลยจะ Backup จะ Restore ก็ไม่ได้ด้วย เป็นปัญหาไปเลยทีเดียว เห้ออออออ แล้วจะมีคำสั่งนี้ไว้เพื่ออออ อ่ะมาดูวิธีแก้เบื้องต้นกัน

1. Login เข้า Admin Moodle

2. Site administration > Security > Site security settings

3. หาคำสั่ง Cron execution via command line only เอา check box ที่ "Default: Yes" ออก

4. คลิกปุ่ม Save Change

5. เปิด Tab ที่ browser ขึ้นมาใหม่แล้วพิมพ์ URL: https://yoursitename.com/admin/cron.php

ยกตัวอย่างถ้า URL moodle ของท่านเป็น https://demo.local/moodle เวลาพิมพ์ก็จะเป็น https://demo.local/moodle/admin/cron.php

6. ถ้าไม่ติดปัญหาอะไรก็จะขึ้นตัวหนังสือมาเยอะ ๆ ก็รอจนกว่าเค้าอัปเดตจนเสร็จ

7. อย่าลืม!!! กลับมาปรับค่าคืนด้วยนะครับ (ห้ามลืมเด็ดขาดเพราะถือว่าเป็น Security ที่สำคัญมาก)

Moodle ที่ผมเจอปัญหาคือ Moodle 3.11.17 (Build: 20231009)

Ref: https://docs.moodle.org/404/en/Cron

แก้ปัญหาติดตั้ง Moodle บน Local Host ไม่ได้

สวัสดีครับ

เคยติดตั้ง Moodle บน Localhost แล้วติดตั้งไม่สำเร็จบ้างมั้ยครับ ? อาการคือ ตอนจังหวะที่สร้างตารางฐานข้อมูลมันจะสร้างช้ามากกกกกกกก พอสร้างเสร็จถึงหน้าให้กำหนดค่า Admin พอกำหนดปุ๊ปกด Save ก็หน้าขาวไปเลย ลองเปลี่ยนจาก Appserv เป็น XAMPP ก็ไม่หาย 

ปัญหานี้ทำให้เราไม่สามารถทดสอบระบบก่อนที่จะนำไปใช้งานจริงได้ 

ปัญหานี้เกิดจากเราไม่ได้เปิด "OPcache" extension ที่ไฟล์ php.ini  เรามาดูวิธีการ enable OPcache extension กันครับ

1. เปิด XAMPP Control Panel ขึ้นมา > คลิกปุ่ม Config ที่ Apache

2. เลือกไฟล์ PHP (php.ini)

3. กด CTRL+F  หาคำว่า opcache

4. ปรับค่าโดยเอาเครื่องหมาย ; (semicolon) หน้าบรรทัดนั้น ๆ ออก ซึ่งค่าที่ต้องปรับมีดังนี้

opcache.enable = 1

opcache.memory_consumption = 128

opcache.max_accelerated_files = 10000

opcache.revalidate_freq = 60

opcache.use_cwd = 1

opcache.validate_timestamps = 1

opcache.save_comments = 1

opcache.enable_file_override = 0

opcache.interned_strings_buffer = 8

opcache.fast_shutdown=1

opcache.enable_cli=1

 

** บรรทัดไหนที่ไม่มี ; (semicolon) แสดงว่า enable อยู่ ถ้าอยาก disable ก็ใส่เครื่องหมาย ; (semicolon) ไว้หน้าบรรทัดนั้น ๆ **

5. แก้ไขไฟล์ php.ini เรียบร้อยแล้ว อย่าลืม Save 

6. จากนั้น Stop service Apache แล้ว Start service Apache ใหม่

เท่านี้ก็น่าจะติดตั้ง Moodle ผ่านแล้วก็เร็วขึ้นด้วยครับ

ที่มา

https://docs.moodle.org/310/en/OPcache

https://moodle.org/mod/forum/discuss.php?d=313433