前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >Drupal CMS安全漏洞预警

Drupal CMS安全漏洞预警

作者头像
安恒信息
发布2018-04-09 17:04:21
9960
发布2018-04-09 17:04:21
举报
文章被收录于专栏:安恒信息安恒信息

安全漏洞公告

2018年3月28日,Drupal官方发布了Drupal core存在远程代码执行漏洞的公告,对应CVE编号:CVE-2018-7600,漏洞公告链接:

https://www.drupal.org/sa-core-2018-002

根据公告,Drupal 6.x、7.x、8.x版本的子系统存在严重安全漏洞,利用该漏洞可能实现远程代码执行攻击,从而影响到业务系统的安全性,建议尽快更新到新的版本。

同时,Drupal的分支版本Backdrop CMS在1.9.3之前的1.x.x版本也存在该漏洞,漏洞公告链接:

https://backdropcms.org/security/backdrop-sa-core-2018-002

另外,做为BackdropCMS的分支版本SilkscreenCMS,在1.9.3之前的1.x.x版本也存在该漏洞,更新后的版本:

https://github.com/silkscreencms/silkscreen/releases/tag/silkscreen-1.9.3

其他分支版本同样也存在该漏洞,根据Drupal项目使用信息统计,显示全球有超过100万个网站在使用该产品,占到了已知CMS网站的大约9%,影响非常大。

漏洞问答

Q:该漏洞利用难度如何?

A:不难,只要攻击者能访问网站页面即可。

Q:利用该漏洞是否需要已知账号登陆的前提条件?

A:不需要,只要能访问网站页面即可。

Q:该漏洞利用成功是否可以获取系统文件或权限?

A:可以,取决于具体的攻击代码构造。

Q:针对该漏洞目前是否有攻击代码公开?

A:暂未发现有利用代码公开,但预计很快会出现,攻击者可以分析补丁的方式,逆向分析 出漏洞的原因从而开发出利用代码。

漏洞影响范围

CVE-2018-7600:远程命令执行漏洞影响Drupal及其各分支版本,包括Drupal CMS、Backdrop CMS、Silkscreen CMS等版本。

Drupal 6.x、7.x、8.x版本受影响:

Drupal 7.x版本建议更新到7.58版本,下载地址:

https://www.drupal.org/project/drupal/releases/7.58

Drupal 8.5.x版本建议更新到8.5.1版本,下载地址:

https://www.drupal.org/project/drupal/releases/8.5.1

Drupal 8.3.x版本建议更新到8.3.9版本,下载地址:

https://www.drupal.org/project/drupal/releases/8.3.9

Drupal 8.4.x版本建议更新到8.4.6版本,下载地址:

https://www.drupal.org/project/drupal/releases/8.4.6

注意:

Drupal 8.3.x和8.4.x本身已不再受支持,但官方考虑到此漏洞的严重性,才提供了8.3.x和8.4.x版本的补丁,建议更新到8.5.x版本。

Drupal 6由于维护生命周期已经结束,官方已经不再提供安全更新补丁,参考链接:https://www.drupal.org/project/d6lts

关于其他版本和疑问可以参考官方的FAQ描述:

https://groups.drupal.org/security/faq-2018-002

Backdrop 1.x版本受影响:

Backdrop 1.9.x版本建议更新到1.9.3版本,下载地址:

https://github.com/backdrop/backdrop/releases/tag/1.9.3

Backdrop 1.8.x版本建议更新到1.8.3版本,下载地址:

https://github.com/backdrop/backdrop/releases/tag/1.8.3

Backdrop 1.7.x版本建议更新到1.7.4版本,下载地址:

https://github.com/backdrop/backdrop/releases/tag/1.7.4

注意:

Backdrop 1.8.x和Backdrop 1.7.x本身已不再受支持,但官方考虑到此漏洞的严重性,才提供了1.8.x和1.7.x版本的补丁,建议更新到1.9.x版本。

Silkscreen 1.x版本受影响:

Silkscreen 1.9.x版本建议更新到1.9.3版本,Silkscreen 1.8.x版本建议更新到1.8.3版本,Silkscreen 1.7.x版本建议更新到1.7.4版本,下载地址:

https://github.com/silkscreencms/silkscreen/releases

漏洞缓解措施

4.1.威胁等级

高危:预计攻击代码很快公开,建议尽快升级到无漏洞新版本。

4.2.威胁推演

此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序,从而影响到网站服务的正常提供。

安全开发生命周期(SDL)建议:Drupal组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-03-29,如有侵权请联系 cloudcommunity@tencent.com 删除
安全
安全漏洞

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

安全
安全漏洞
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 安全漏洞公告
    • 4.1.威胁等级
      • 4.2.威胁推演
      领券

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

      腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

      Copyright © 2013 - 2024 Tencent Cloud.

      All Rights Reserved. 腾讯云 版权所有

      登录 后参与评论