<object id="cou4m"></object>
<input id="cou4m"><label id="cou4m"></label></input>
  • <bdo id="cou4m"></bdo>
  • <bdo id="cou4m"></bdo>
  • <code id="cou4m"></code>
  • <menu id="cou4m"></menu>
  • <s id="cou4m"></s>
  • <bdo id="cou4m"><nav id="cou4m"></nav></bdo>
  • <strong id="cou4m"></strong>
  • <nav id="cou4m"><samp id="cou4m"></samp></nav>
  • <bdo id="cou4m"><blockquote id="cou4m"></blockquote></bdo>
  • <input id="cou4m"><blockquote id="cou4m"></blockquote></input>
  • <menu id="cou4m"><samp id="cou4m"></samp></menu>
  • 關于Drupal核心遠程代碼執行漏洞的安全公告

    發布時間:2018-05-02

    2018年4月26日,國家信息安全漏洞共享平臺(CNVD)收錄了Drupal核心遠程代碼執行漏洞(CNVD-2018-08523,對應CVE-2018-7602)。綜合利用上述漏洞,攻擊者可實現遠程代碼執行攻擊。部分漏洞驗證代碼已被公開,近期被不法分子利用進行大規模攻擊的可能性較大,廠商已發布補丁進行修復。

    一、漏洞情況分析

    Drupal是一個由Dries Buytaert創立的自由開源的內容管理系統,用PHP語言寫成。在業界Drupal常被視為內容管理框架,而非一般意義上的內容管理系統。

    2018年3月29日CNVD收錄了Drupal 6,7,8多個子版本存在遠程代碼執行漏洞,遠程攻擊者可利用該漏洞執行任意代碼。

    安全公告鏈接:http://www.cnvd.org.cn/webinfo/show/4463。

    由于Drupal官方對以上漏洞修復不完全,導致補丁被繞過,可以造成任意代碼執行。Drupal官方針對以上漏洞發布補丁主要是通過過濾帶有#的輸入來處理請求(GET,POST,COOKIE,REQUEST)中數據,但是Drupal應用還會處理path?destination=URL形式的請求,發起請求需要對destination=URL中的URL進行URL編碼,當對URL中的#進行兩次編碼即可繞過sanitize()函數過濾,執行代碼執行。

    CNVD對上述漏洞的綜合評級為“高危”。 

    二、漏洞影響范圍

    受影響版本:

    Drupal的7.x和8.x版本受此漏洞影響。

    修復版本:

    Drupal 7.59,Drupal 8.5.3,Drupal 8.4.8

    CNVD秘書處對該系統在全球的分布情況進行了統計,全球系統規模約為30.9萬,用戶量排名前五的分別是美國(48.5%)、德國(8.1%)、法國(4%)、英國(3.8%)和俄羅斯(3.7%),而在我國境內分布較少(0.88%)。

    三、漏洞修復建議

    目前,廠商已發布補丁和安全公告以修復該漏洞,具體修復建議如下:

    Drupal 7.x請升級到Drupal 7.59版本。

    同時官方給出7.X版本補丁,若用戶無法立即升級版本,請更新補丁,補丁地址為:

    https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0

    Drupal 8.5.x請升級到Drupal 8.5.3版本

    同時官方給出8.X版本補丁,若用戶無法立即升級版本,請更新補丁,補丁地址為:

    https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

    Drupal 8.4.x版本請升級到8.4.8版本,同時官方給出8.X版本補丁,若用戶無法立即升級版本,請更新補丁,補丁地址為:

    https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

    附:參考鏈接:

    https://www.drupal.org/sa-core-2018-004

    https://nvd.nist.gov/vuln/detail/CVE-2018-7602

    http://www.cnvd.org.cn/flaw/show/CNVD-2018-08523


    聯系電話:010-62199788
    公司地址:北京市昌平區七北路TBD云集中心(42號院)16號樓
    Copyright 2015-2020 長安通信科技有限責任公司版權所有 All Rights Reserved 京ICP備13045911號

    掃碼關注

    贵州十一选五中奖规则
    <object id="cou4m"></object>
    <input id="cou4m"><label id="cou4m"></label></input>
  • <bdo id="cou4m"></bdo>
  • <bdo id="cou4m"></bdo>
  • <code id="cou4m"></code>
  • <menu id="cou4m"></menu>
  • <s id="cou4m"></s>
  • <bdo id="cou4m"><nav id="cou4m"></nav></bdo>
  • <strong id="cou4m"></strong>
  • <nav id="cou4m"><samp id="cou4m"></samp></nav>
  • <bdo id="cou4m"><blockquote id="cou4m"></blockquote></bdo>
  • <input id="cou4m"><blockquote id="cou4m"></blockquote></input>
  • <menu id="cou4m"><samp id="cou4m"></samp></menu>
  • <object id="cou4m"></object>
    <input id="cou4m"><label id="cou4m"></label></input>
  • <bdo id="cou4m"></bdo>
  • <bdo id="cou4m"></bdo>
  • <code id="cou4m"></code>
  • <menu id="cou4m"></menu>
  • <s id="cou4m"></s>
  • <bdo id="cou4m"><nav id="cou4m"></nav></bdo>
  • <strong id="cou4m"></strong>
  • <nav id="cou4m"><samp id="cou4m"></samp></nav>
  • <bdo id="cou4m"><blockquote id="cou4m"></blockquote></bdo>
  • <input id="cou4m"><blockquote id="cou4m"></blockquote></input>
  • <menu id="cou4m"><samp id="cou4m"></samp></menu>