聚焦源代码安全,网罗国内外最新资讯!
Drupal
发布紧急安全更新,修复了一个已存在 exploit 的严重漏洞。利用该漏洞可在某些 CMS 版本上执行任意 PHP 代码。
Drupal 指出,“根据例行安全发布窗口计划,11月25日并非核心安全窗口。然而,鉴于其中一个核心依赖关系的 exploit 已存在且某些 Drupal 配置易受攻击,因此该发布是必要的。”
目前,Drupal 官方数据表示,“在共计1120941个网站中,使用易受攻击 Drupal版本的网站超过94.4万个。这些数据是不完整的;只有使用 Update Status 模块的 Drupal 网站包含其中。“
2.5%的具有内容管理系统的网站都在使用 Drupal,使其成为互联网上的第四大流行 CMS,排在 WordPress (63.8%)、Shopify (5.1%) 和 Joomla (3.6%) 之后。
01
为所有受影响版本发布安全更新
Drupal 在安全公告中指出,该漏洞是由Drupal使用的 PEAR Archive_Tar 库中的两个 bug 引发的:CVE-2020-28948 和 CVE-2020-28949。如果该 CMS 被配置为允许并处理 .tar、.tar.gz、.bz2 或 .tlz 文件上传,则该严重的 Drupal 代码执行漏洞可遭利用。
目前已发布多个 Drupal 安全更新,已修复该漏洞。
Drupal 建议在受影响服务器上安装如下更新:
- Drupal 9.0 用户应更新至 Drupal 9.0.9
- Drupal 8.9 用户应更新至Drupal 8.9.10
- Drupal 8.8 或更早版本的用户应更新至 Drupal 8.8.12
- Drupal 7 用户应更新至 Drupal 7.75
Drupal 的安全团队指出,“早于8.8.x 的 Drupal 8 版本已到达生命周期,因此不在安全更新范围内。”
02
缓解措施
无法在服务器上立即更新 Drupal 的管理员也可采用缓解措施。
为此,建议站点管理员拦截不受信任的用户上传 .tar、.tar.gz、.bz2 或 .tlz 文件,临时缓解该问题。
美国国土安全局网络安全和基础设施安全局 CISA 也发布警告,督促管理员和用户更新至已修复的 Drupal 版本。
上周,Drupal 修复了另外一个严重的远程代码执行漏洞 (CVE-2020-13671)。该漏洞由对所上传文件的文件名清理不当造成。Drupal 表示,“特别注意如下文件扩展,其后跟着一个或多个其它扩展,它们也是危险的:phar、PHP、pl、py、cgi、asp、js、HTML、htm 和 phtml。我们并未列出全部扩展,因此应当基于具体案例评估其它未遭破坏的扩展的安全性。“
Drupal 安全通告请见:
https://www.drupal.org/sa-core-2020-013
推荐阅读
Drupal 修复远程代码执行漏洞
开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞
开源 CMS Drupal 修复 XSS 和开放重定向漏洞
原文链接
https://www.bleepingcomputer.com/news/security/drupal-issues-emergency-fix-for-critical-bug-with-known-exploits/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~