安全公告

澳门皇冠投注:Drupal核心远程代码执行漏洞的安全公告

2018-04-27 16:24来源:国家互联网应急中心网站作者:点击:


在2018年4月26日,国家信息安全漏洞共享平台(CNVD)包括Drupal核心远程代码执行漏洞(CNVD-2018-08523,对应于CVE-2018-7602)。利用上述漏洞,攻击者可以实施远程代码执行攻击。一些漏洞验证码已经公开,并且更有可能被犯罪分子用于大规模攻击。供应商已经发布补丁来修复它们。

一、漏洞情况分析

Drupal是一个免费的开源内容管理系统,由Dries Buytaert创建,用PHP编写。在行业中,Drupal通常被视为内容管理框架,而不是一般意义上的内容管理系统。

在2018年3月29日,CNVD在Drupal 6,7中包含了一个远程代码执行漏洞,并且有超过8个子版本可被远程攻击者利用来执行任意代码。

安全公告链接:http://www.cnvd.org.cn/webinfo/show/4463。

由于Drupal对上述错误的官方不完整修复,修补程序被绕过并可能导致任意代码执行。针对上述漏洞的官方Drupal补丁主要通过使用#过滤输入来处理请求中的数据(GET,POST,COOKIE,REQUEST),但Drupal应用程序还以path?destination=URL的形式处理请求。 destination=URL中的URL是URL编码的。当URL中的#被编码两次时,可以绕过sanitize()函数来执行代码。

CNVD对上述漏洞的整体评级为“高风险”。

二、漏洞影响范围

受影响的版本:

Drupal的7.x和8.x版本受此漏洞的影响。

修复版本:

Drupal 7.59,Drupal 8.5.3,Drupal 8.4.8

CNVD秘书处已经对该系统的全球分布进行了统计。全球系统规模约为309,000。排名前五的用户是美国(48.5%),德国(8.1%),法国(4%)和英国。 (3.8%)和俄罗斯(3.7%),但在中国的分布较少(0.88%)。

三、漏洞修复建议

目前,供应商已发布补丁和安全公告以修复漏洞。具体修复方法如下:

将Drupal 7.x升级到Drupal 7.59。

同时,给出了7.X版本的官方版本。如果用户无法立即升级版本,请更新补丁。补丁地址是:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0

将Drupal 8.5.x升级到Drupal 8.5.3版本

同时,给出了8.X版本的官方版本。如果用户无法立即升级版本,请更新补丁。补丁地址是:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

请将Drupal 8.4.x版本升级到版本8.4.8。 8.X版本的官方版本也可用。如果用户无法立即升级版本,请更新补丁。补丁地址是:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

附:参考链接:

https://www.drupal.org/sa-core-2018-004

https://nvd.nist.gov/vuln/detail/CVE-2018-7602

http://www.cnvd.org.cn/flaw/show/CNVD-2018-08523



下一条:澳门皇冠投注:OAuth 2.0存在第三方帐号快捷登录授权劫持漏洞的安全公告

关闭