關于Drupal core遠程代碼執(zhí)行漏洞的安全公告
發(fā)布時間:2018-04-122018年3月29日,國家信息安全漏洞共享平臺(CNVD)收錄了Drupal core遠程代碼執(zhí)行漏洞(CNVD-2018-06660,對應CVE-2018-7600)。綜合利用上述漏洞,攻擊者可實現(xiàn)遠程代碼執(zhí)行攻擊。目前,漏洞細節(jié)尚未公開。
一、漏洞情況分析
Drupal是一個由Dries Buytaert創(chuàng)立的自由開源的內(nèi)容管理系統(tǒng),用PHP語言寫成。在業(yè)界Drupal常被視為內(nèi)容管理框架,而非一般意義上的內(nèi)容管理系統(tǒng)。
Drupal 6,7,8多個子版本存在遠程代碼執(zhí)行漏洞,遠程攻擊者可利用該漏洞執(zhí)行任意代碼,從而影響到業(yè)務系統(tǒng)的安全性。
CNVD對上述漏洞的綜合評級為“高危”。
二、漏洞影響范圍
Drupal的6.x,7.x和8.x版本受此漏洞影響。
CNVD秘書處對該系統(tǒng)在全球的分布情況進行了統(tǒng)計,全球系統(tǒng)規(guī)模約為30.9萬,用戶量排名前五的分別是美國(48.5%)、德國(8.1%)、法國(4%)、英國(3.8%)和俄羅斯(3.7%),而在我國境內(nèi)的分布較少(0.88%)。
三、漏洞修復建議
目前,廠商已發(fā)布補丁和安全公告以修復該漏洞,具體修復建議如下:
1)推薦更新
主要支持版本推薦更新到Drupal相應的最新子版本。
7.x版本更新到7.58
更新地址:https://www.drupal.org/project/drupal/releases/7.58
8.5.x版本更新到8.5.1
更新地址:https://www.drupal.org/project/drupal/releases/8.5.1
8.4.x版本更新到8.4.6
更新地址:https://www.drupal.org/project/drupal/releases/8.4.6
8.3.x版本更新到8.3.9
更新地址:https://www.drupal.org/project/drupal/releases/8.3.9
2)使用patch更新
如果不能立即更新,請使用對應patch。
8.5.x,8.4.x,8.3.x patch地址:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
7.x patch地址:
https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5
3)其他不支持版本
Drupal 8.0/8.1/8.2版本已徹底不再維護,如果還在使用這些版本的Drupal,請盡快更新到8.3.9或8.4.6版本。
Drupal 6也受到漏洞影響,此版本由Drupal 6 Long Term Support維護。
參考 https://www.drupal.org/project/d6lts
附:參考鏈接:
https://www.drupal.org/sa-core-2018-002
https://groups.drupal.org/security/faq-2018-002
http://www.cnvd.org.cn/flaw/show/CNVD-2018-06660
