聚焦源代碼安全,網羅國内外最新資訊!
Drupal
釋出緊急安全更新,修複了一個已存在 exploit 的嚴重漏洞。利用該漏洞可在某些 CMS 版本上執行任意 PHP 代碼。
Drupal 指出,“根據例行安全釋出視窗計劃,11月25日并非核心安全視窗。然而,鑒于其中一個核心依賴關系的 exploit 已存在且某些 Drupal 配置易受攻擊,是以該釋出是必要的。”
目前,Drupal 官方資料表示,“在共計1120941個網站中,使用易受攻擊 Drupal版本的網站超過94.4萬個。這些資料是不完整的;隻有使用 Update Status 子產品的 Drupal 網站包含其中。“
2.5%的具有内容管理系統的網站都在使用 Drupal,使其成為網際網路上的第四大流行 CMS,排在 WordPress (63.8%)、Shopify (5.1%) 和 Joomla (3.6%) 之後。
01
為所有受影響版本釋出安全更新
Drupal 在安全公告中指出,該漏洞是由Drupal使用的 PEAR Archive_Tar 庫中的兩個 bug 引發的:CVE-2020-28948 和 CVE-2020-28949。如果該 CMS 被配置為允許并處理 .tar、.tar.gz、.bz2 或 .tlz 檔案上傳,則該嚴重的 Drupal 代碼執行漏洞可遭利用。
目前已釋出多個 Drupal 安全更新,已修複該漏洞。
Drupal 建議在受影響伺服器上安裝如下更新:
- Drupal 9.0 使用者應更新至 Drupal 9.0.9
- Drupal 8.9 使用者應更新至Drupal 8.9.10
- Drupal 8.8 或更早版本的使用者應更新至 Drupal 8.8.12
- Drupal 7 使用者應更新至 Drupal 7.75
Drupal 的安全團隊指出,“早于8.8.x 的 Drupal 8 版本已到達生命周期,是以不在安全更新範圍内。”
02
緩解措施
無法在伺服器上立即更新 Drupal 的管理者也可采用緩解措施。
為此,建議站點管理者攔截不受信任的使用者上傳 .tar、.tar.gz、.bz2 或 .tlz 檔案,臨時緩解該問題。
美國國土安全局網絡安全和基礎設施安全局 CISA 也釋出警告,督促管理者和使用者更新至已修複的 Drupal 版本。
上周,Drupal 修複了另外一個嚴重的遠端代碼執行漏洞 (CVE-2020-13671)。該漏洞由對所上傳檔案的檔案名清理不當造成。Drupal 表示,“特别注意如下檔案擴充,其後跟着一個或多個其它擴充,它們也是危險的:phar、PHP、pl、py、cgi、asp、js、HTML、htm 和 phtml。我們并未列出全部擴充,是以應當基于具體案例評估其它未遭破壞的擴充的安全性。“
Drupal 安全通告請見:
https://www.drupal.org/sa-core-2020-013
推薦閱讀
Drupal 修複遠端代碼執行漏洞
開源内容管理系統Drupal 修複資訊洩露和 XSS 漏洞
開源 CMS Drupal 修複 XSS 和開放重定向漏洞
原文連結
https://www.bleepingcomputer.com/news/security/drupal-issues-emergency-fix-for-critical-bug-with-known-exploits/
題圖:Pixabay License
本文由奇安信代碼衛士編譯,不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士 https://codesafe.qianxin.com”。
奇安信代碼衛士 (codesafe)
國内首個專注于軟體開發安全的
産品線。
覺得不錯,就點個 “在看” 或 "贊” 吧~