1. <dfn id="5zmp3"></dfn>
    2. 關(guān)于Drupal核心遠(yuǎn)程代碼執(zhí)行漏洞的安全公告

      發(fā)布時間:2018-05-02

      2018年4月26日,國家信息安全漏洞共享平臺(CNVD)收錄了Drupal核心遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2018-08523,對應(yīng)CVE-2018-7602)。綜合利用上述漏洞,攻擊者可實現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。部分漏洞驗證代碼已被公開,近期被不法分子利用進(jìn)行大規(guī)模攻擊的可能性較大,廠商已發(fā)布補(bǔ)丁進(jìn)行修復(fù)。

      一、漏洞情況分析

      Drupal是一個由Dries Buytaert創(chuàng)立的自由開源的內(nèi)容管理系統(tǒng),用PHP語言寫成。在業(yè)界Drupal常被視為內(nèi)容管理框架,而非一般意義上的內(nèi)容管理系統(tǒng)。

      2018年3月29日CNVD收錄了Drupal 6,7,8多個子版本存在遠(yuǎn)程代碼執(zhí)行漏洞,遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行任意代碼。

      安全公告鏈接:http://www.cnvd.org.cn/webinfo/show/4463。

      由于Drupal官方對以上漏洞修復(fù)不完全,導(dǎo)致補(bǔ)丁被繞過,可以造成任意代碼執(zhí)行。Drupal官方針對以上漏洞發(fā)布補(bǔ)丁主要是通過過濾帶有#的輸入來處理請求(GET,POST,COOKIE,REQUEST)中數(shù)據(jù),但是Drupal應(yīng)用還會處理path?destination=URL形式的請求,發(fā)起請求需要對destination=URL中的URL進(jìn)行URL編碼,當(dāng)對URL中的#進(jìn)行兩次編碼即可繞過sanitize()函數(shù)過濾,執(zhí)行代碼執(zhí)行。

      CNVD對上述漏洞的綜合評級為“高?!?。 

      二、漏洞影響范圍

      受影響版本:

      Drupal的7.x和8.x版本受此漏洞影響。

      修復(fù)版本:

      Drupal 7.59,Drupal 8.5.3,Drupal 8.4.8

      CNVD秘書處對該系統(tǒng)在全球的分布情況進(jìn)行了統(tǒng)計,全球系統(tǒng)規(guī)模約為30.9萬,用戶量排名前五的分別是美國(48.5%)、德國(8.1%)、法國(4%)、英國(3.8%)和俄羅斯(3.7%),而在我國境內(nèi)分布較少(0.88%)。

      三、漏洞修復(fù)建議

      目前,廠商已發(fā)布補(bǔ)丁和安全公告以修復(fù)該漏洞,具體修復(fù)建議如下:

      Drupal 7.x請升級到Drupal 7.59版本。

      同時官方給出7.X版本補(bǔ)丁,若用戶無法立即升級版本,請更新補(bǔ)丁,補(bǔ)丁地址為:

      https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0

      Drupal 8.5.x請升級到Drupal 8.5.3版本

      同時官方給出8.X版本補(bǔ)丁,若用戶無法立即升級版本,請更新補(bǔ)丁,補(bǔ)丁地址為:

      https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

      Drupal 8.4.x版本請升級到8.4.8版本,同時官方給出8.X版本補(bǔ)丁,若用戶無法立即升級版本,請更新補(bǔ)丁,補(bǔ)丁地址為:

      https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

      附:參考鏈接:

      https://www.drupal.org/sa-core-2018-004

      https://nvd.nist.gov/vuln/detail/CVE-2018-7602

      http://www.cnvd.org.cn/flaw/show/CNVD-2018-08523


      聯(lián)系電話:010-62199788
      公司地址:北京市昌平區(qū)七北路TBD云集中心(42號院)16號樓
      Copyright 2015-2020 長安通信科技有限責(zé)任公司版權(quán)所有 All Rights Reserved 京ICP備13045911號

      掃碼關(guān)注

      99热日韩这里只有精品,777国产盗摄偷窥精品0OOO,亚洲色大情网站久久久,欧美亚洲人成在线综合

        1. <dfn id="5zmp3"></dfn>