2018年3月28日,Drupal官方发布了Drupal core存在远程代码执行漏洞的公告,对应CVE编号:CVE-2018-7600,漏洞公告链接:
https://www.drupal.org/sa-core-2018-002
根据公告,Drupal 6.x、7.x、8.x版本的子系统存在严重安全漏洞,利用该漏洞可能实现远程代码执行攻击,从而影响到业务系统的安全性,建议尽快更新到新的版本。
同时,Drupal的分支版本Backdrop CMS在1.9.3之前的1.x.x版本也存在该漏洞,漏洞公告链接:
https://backdropcms.org/security/backdrop-sa-core-2018-002
另外,做为BackdropCMS的分支版本SilkscreenCMS,在1.9.3之前的1.x.x版本也存在该漏洞,更新后的版本:
https://github.com/silkscreencms/silkscreen/releases/tag/silkscreen-1.9.3
其他分支版本同样也存在该漏洞,根据Drupal项目使用信息统计,显示全球有超过100万个网站在使用该产品,占到了已知CMS网站的大约9%,影响非常大。
漏洞问答
Q:该漏洞利用难度如何?
A:不难,只要攻击者能访问网站页面即可。
Q:利用该漏洞是否需要已知账号登陆的前提条件?
A:不需要,只要能访问网站页面即可。
Q:该漏洞利用成功是否可以获取系统文件或权限?
A:可以,取决于具体的攻击代码构造。
Q:针对该漏洞目前是否有攻击代码公开?
A:暂未发现有利用代码公开,但预计很快会出现,攻击者可以分析补丁的方式,逆向分析 出漏洞的原因从而开发出利用代码。
漏洞影响范围
CVE-2018-7600:远程命令执行漏洞影响Drupal及其各分支版本,包括Drupal CMS、Backdrop CMS、Silkscreen CMS等版本。
Drupal 6.x、7.x、8.x版本受影响:
Drupal 7.x版本建议更新到7.58版本,下载地址:
https://www.drupal.org/project/drupal/releases/7.58
Drupal 8.5.x版本建议更新到8.5.1版本,下载地址:
https://www.drupal.org/project/drupal/releases/8.5.1
Drupal 8.3.x版本建议更新到8.3.9版本,下载地址:
https://www.drupal.org/project/drupal/releases/8.3.9
Drupal 8.4.x版本建议更新到8.4.6版本,下载地址:
https://www.drupal.org/project/drupal/releases/8.4.6
注意:
Drupal 8.3.x和8.4.x本身已不再受支持,但官方考虑到此漏洞的严重性,才提供了8.3.x和8.4.x版本的补丁,建议更新到8.5.x版本。
Drupal 6由于维护生命周期已经结束,官方已经不再提供安全更新补丁,参考链接:https://www.drupal.org/project/d6lts
关于其他版本和疑问可以参考官方的FAQ描述:
https://groups.drupal.org/security/faq-2018-002
Backdrop 1.x版本受影响:
Backdrop 1.9.x版本建议更新到1.9.3版本,下载地址:
https://github.com/backdrop/backdrop/releases/tag/1.9.3
Backdrop 1.8.x版本建议更新到1.8.3版本,下载地址:
https://github.com/backdrop/backdrop/releases/tag/1.8.3
Backdrop 1.7.x版本建议更新到1.7.4版本,下载地址:
https://github.com/backdrop/backdrop/releases/tag/1.7.4
注意:
Backdrop 1.8.x和Backdrop 1.7.x本身已不再受支持,但官方考虑到此漏洞的严重性,才提供了1.8.x和1.7.x版本的补丁,建议更新到1.9.x版本。
Silkscreen 1.x版本受影响:
Silkscreen 1.9.x版本建议更新到1.9.3版本,Silkscreen 1.8.x版本建议更新到1.8.3版本,Silkscreen 1.7.x版本建议更新到1.7.4版本,下载地址:
https://github.com/silkscreencms/silkscreen/releases
漏洞缓解措施
高危:预计攻击代码很快公开,建议尽快升级到无漏洞新版本。
此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序,从而影响到网站服务的正常提供。
安全开发生命周期(SDL)建议:Drupal组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。