亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

關(guān)于Drupal Core遠(yuǎn)程代碼執(zhí)行漏洞的安全公告

2018-04-27 10:53:13

安全公告編號(hào):CNTA-2018-0017

2018年4月26日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了Drupal Core遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2018-08523,對(duì)應(yīng)CVE-2018-7602)。綜合利用上述漏洞,攻擊者可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。部分漏洞驗(yàn)證代碼已被公開(kāi),近期被不法分子利用進(jìn)行大規(guī)模攻擊的可能性較大,廠(chǎng)商已發(fā)布補(bǔ)丁進(jìn)行修復(fù)。

一、漏洞情況分析

Drupal是一個(gè)由Dries Buytaert創(chuàng)立的自由開(kāi)源的內(nèi)容管理系統(tǒng),用PHP語(yǔ)言寫(xiě)成。Drupal在業(yè)界常被視為內(nèi)容管理框架,而與一般意義上的內(nèi)容管理系統(tǒng)存在差異。

2018年3月29日,CNVD收錄了Drupal 6,7,8多個(gè)子版本存在遠(yuǎn)程代碼執(zhí)行漏洞,遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行任意代碼(http://www.cnvd.org.cn/webinfo/show/4463)。但由于Drupal官方對(duì)該漏洞修復(fù)不完全,導(dǎo)致補(bǔ)丁可以被繞過(guò),造成任意代碼執(zhí)行:Drupal官方發(fā)布的漏洞補(bǔ)丁通過(guò)過(guò)濾帶有#的輸入來(lái)處理請(qǐng)求數(shù)據(jù)(GET,POST,COOKIE,REQUEST),但是Drupal應(yīng)用還會(huì)處理path?destination=URL形式的請(qǐng)求,發(fā)起請(qǐng)求需要對(duì)destination=URL中的URL進(jìn)行編碼,攻擊者對(duì)URL中的#進(jìn)行兩次編碼即可繞過(guò)sanitize()函數(shù)的過(guò)濾,從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞影響范圍

受影響版本:

Drupal的7.x和8.x版本受此漏洞影響。

修復(fù)版本:

Drupal 7.59,Drupal 8.5.3,Drupal 8.4.8

CNVD秘書(shū)處對(duì)該系統(tǒng)在全球的分布情況進(jìn)行了統(tǒng)計(jì),全球系統(tǒng)規(guī)模約為30.9萬(wàn),用戶(hù)量排名前五的分別是美國(guó)(48.5%)、德國(guó)(8.1%)、法國(guó)(4%)、英國(guó)(3.8%)和俄羅斯(3.7%),而在我國(guó)境內(nèi)分布較少(0.88%)。

三、漏洞修復(fù)建議

目前,廠(chǎng)商已發(fā)布補(bǔ)丁和安全公告以修復(fù)該漏洞,具體修復(fù)建議如下:

Drupal 7.x請(qǐng)升級(jí)到Drupal 7.59版本。

官方給出7.X版本補(bǔ)丁,若用戶(hù)無(wú)法立即升級(jí)版本,請(qǐng)更新補(bǔ)丁,補(bǔ)丁地址為:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0

Drupal 8.5.x請(qǐng)升級(jí)到Drupal 8.5.3版本

官方給出8.X版本補(bǔ)丁,若用戶(hù)無(wú)法立即升級(jí)版本,請(qǐng)更新補(bǔ)丁,補(bǔ)丁地址為:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

Drupal 8.4.x版本請(qǐng)升級(jí)到8.4.8版本,官方給出8.X版本補(bǔ)丁,若用戶(hù)無(wú)法立即升級(jí)版本,請(qǐng)更新補(bǔ)丁,補(bǔ)丁地址為:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

?

附:參考鏈接:

https://www.drupal.org/sa-core-2018-004

https://nvd.nist.gov/vuln/detail/CVE-2018-7602

http://www.cnvd.org.cn/flaw/show/CNVD-2018-08523