據外媒報道, drupal 研究人員于 8 月 16 日釋出安全報告,宣稱已修複 drupal 8 多處漏洞并線上更新安全更新檔。研究顯示這些漏洞影響 drupal 8 多個系統元件,包括實體通路系統、rest api 與部分視圖元件。
cve-2017-6925
研究人員發現 drupal 8.3.7 中存在一處高危漏洞(cve-2017-6925),影響實體通路系統,允許攻擊者檢視、建立、删除或更新實體。不過,該漏洞僅影響不具備 uuid 實體,以及對同一實體不同版本有多種通路限制的實體系統。
cve-2017-6924
在 drupal 8 中存在另一繞過通路權限的關鍵漏洞(cve-2017-6924),即當無通路權限的任何使用者駐留在 rest api 時,允許通過 rest 釋出評論。目前,此漏洞已被評估為高危漏洞,因為它影響具有 restful web 服務子產品與啟用注釋實體 rest 資源的站點。
cve-2017-6923
在 drupal 8 中還存在另一關鍵漏洞(cve-2017-6923)影響視圖元件。當使用者建立視圖時,可以選擇使用 ajax 通過過濾器參數更新資料。不過,視圖子子產品僅對配置為 ajax 的視圖進行通路。如果使用者對視圖具有通路限制,那麼可以減輕系統損失,即使使用者正使用另一子產品顯示。
目前,drupal 官方安全研究人員建議使用者盡快全盤檢測系統并将 drupal 更新至最新版本。
<a href="https://www.drupal.org/sa-core-2017-004?spm=5176.bbsr324936.0.0.j4hlyd">點選可檢視drupal官方公告詳情</a>
受影響版本:
drupal core 8.x 版本和 8.3.7之前的版本
安全版本:
drupal 7 core不受影響
安全方案:
情報來源:
![數說安全公布2020年中國網絡安全市場全景圖,中安威士榜上有名[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)