關于Drupal核心遠程代碼執(zhí)行漏洞的安全公告
發(fā)布時間:2018-05-022018年4月26日,,國家信息安全漏洞共享平臺(CNVD)收錄了Drupal核心遠程代碼執(zhí)行漏洞(CNVD-2018-08523,,對應CVE-2018-7602)。綜合利用上述漏洞,,攻擊者可實現遠程代碼執(zhí)行攻擊,。部分漏洞驗證代碼已被公開,,近期被不法分子利用進行大規(guī)模攻擊的可能性較大,廠商已發(fā)布補丁進行修復,。
一,、漏洞情況分析
Drupal是一個由Dries Buytaert創(chuàng)立的自由開源的內容管理系統(tǒng),,用PHP語言寫成。在業(yè)界Drupal常被視為內容管理框架,,而非一般意義上的內容管理系統(tǒng),。
2018年3月29日CNVD收錄了Drupal 6,7,,8多個子版本存在遠程代碼執(zhí)行漏洞,,遠程攻擊者可利用該漏洞執(zhí)行任意代碼。
安全公告鏈接:http://www.cnvd.org.cn/webinfo/show/4463,。
由于Drupal官方對以上漏洞修復不完全,,導致補丁被繞過,可以造成任意代碼執(zhí)行,。Drupal官方針對以上漏洞發(fā)布補丁主要是通過過濾帶有#的輸入來處理請求(GET,,POST,COOKIE,,REQUEST)中數據,,但是Drupal應用還會處理path?destination=URL形式的請求,發(fā)起請求需要對destination=URL中的URL進行URL編碼,,當對URL中的#進行兩次編碼即可繞過sanitize()函數過濾,執(zhí)行代碼執(zhí)行,。
CNVD對上述漏洞的綜合評級為“高?!薄?nbsp;
二,、漏洞影響范圍
受影響版本:
Drupal的7.x和8.x版本受此漏洞影響,。
修復版本:
Drupal 7.59,Drupal 8.5.3,,Drupal 8.4.8
CNVD秘書處對該系統(tǒng)在全球的分布情況進行了統(tǒng)計,,全球系統(tǒng)規(guī)模約為30.9萬,用戶量排名前五的分別是美國(48.5%),、德國(8.1%),、法國(4%)、英國(3.8%)和俄羅斯(3.7%),,而在我國境內分布較少(0.88%),。
三、漏洞修復建議
目前,,廠商已發(fā)布補丁和安全公告以修復該漏洞,,具體修復建議如下:
Drupal 7.x請升級到Drupal 7.59版本。
同時官方給出7.X版本補丁,,若用戶無法立即升級版本,,請更新補丁,,補丁地址為:
https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0
Drupal 8.5.x請升級到Drupal 8.5.3版本
同時官方給出8.X版本補丁,若用戶無法立即升級版本,,請更新補丁,,補丁地址為:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e
Drupal 8.4.x版本請升級到8.4.8版本,同時官方給出8.X版本補丁,,若用戶無法立即升級版本,,請更新補丁,補丁地址為:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e
附:參考鏈接:
https://www.drupal.org/sa-core-2018-004
https://nvd.nist.gov/vuln/detail/CVE-2018-7602
http://www.cnvd.org.cn/flaw/show/CNVD-2018-08523
