Drupal CMS新安全漏洞预警

安全漏洞公告

2018年4月25日,Drupal官方发布了Drupal core存在远程代码执行漏洞的公告,对应CVE编号:CVE-2018-7602,漏洞公告链接:

https://www.drupal.org/sa-core-2018-004

根据公告,6.x、7.x、8.x版本的子系统存在严重安全漏洞,利用该漏洞可能实现远程代码执行攻击,从而影响到业务系统的安全性,该漏洞跟CVE-2018-7600一样已经被在野利用,建议尽快更新到新的版本。

同时,Drupal的分支版本Backdrop CMS在1.9.5之前的1.x.x版本也存在该漏洞,漏洞公告链接:

https://backdropcms.org/security/backdrop-sa-core-2018-004

另外,做为Backdrop CMS的分支版本Silkscreen CMS,在1.9.5.1之前的1.x.x版本也存在该漏洞,更新后的版本:

https://github.com/silkscreencms/silkscreen/releases/tag/silkscreen-1.9.5.1

其他分支版本同样也存在该漏洞,根据Drupal项目使用信息统计,显示全球有超过100万个网站在使用该产品,占到了已知CMS网站的大约9%,影响非常大。

漏洞问答

Q:该漏洞利用难度如何?

A:不难,只要攻击者能访问网站页面即可。

Q:利用该漏洞是否需要已知账号登陆的前提条件?

A:不需要,只要能访问网站页面即可。

Q:该漏洞利用成功是否可以获取系统文件或权限?

A:可以,取决于具体的攻击代码构造。

Q:针对该漏洞目前是否有攻击代码公开?

A:3月公告的CVE-2018-7600漏洞利用Drupalgeddon 2已经形成僵尸网络,此次漏洞的利用代码也已经被公开:

https://github.com/pimps/CVE-2018-7600/blob/master/drupa7-CVE-2018-7602.py

漏洞影响范围

CVE-2018-7602:远程命令执行漏洞影响Drupal及其各分支版本,包括Drupal CMS、Backdrop CMS、SilkscreenCMS等版本。

Drupal 6.x、7.x、8.x版本受影响:

Drupal 7.x版本建议更新到7.59以上版本,下载地址:

https://www.drupal.org/project/drupal/releases/7.59

Drupal 8.5.x版本建议更新到8.5.3以上版本,下载地址:

https://www.drupal.org/project/drupal/releases/8.5.3

Drupal 8.3.x版本建议更新到8.3.9以上版本,下载地址,仅修复CVE-2018-7600的漏洞,此次并未发布:

https://www.drupal.org/project/drupal/releases/8.3.9

Drupal 8.4.x版本建议更新到8.4.8以上版本,下载地址:

https://www.drupal.org/project/drupal/releases/8.4.8

注意:Drupal 8.3.x和8.4.x本身已不再受支持,但官方考虑到此漏洞的严重性,才提供了8.4.x版本的补丁,8.3.x版本没有提供,建议更新到8.5.x版本。

Drupal 6由于维护生命周期已经结束,官方已经不再提供安全更新补丁,参考链接:

https://www.drupal.org/project/d6lts

关于其他版本和疑问可以参考官方针对SA-CORE-2018-002的FAQ描述,同样适用于此次SA-CORE-2018-004:

https://groups.drupal.org/security/faq-2018-002

Backdrop 1.x版本受影响:

Backdrop 1.9.x版本建议更新到1.9.5以上版本,下载地址:

https://github.com/backdrop/backdrop/releases/tag/1.9.5

Backdrop 1.8.x版本建议更新到1.8.4以上版本,下载地址:

https://github.com/backdrop/backdrop/releases/tag/1.8.4

Backdrop 1.7.x版本建议更新到1.7.4以上版本,下载地址,仅修复CVE-2018-7600的漏洞,此次并未发布:

https://github.com/backdrop/backdrop/releases/tag/1.7.4

注意:Backdrop 1.8.x和Backdrop 1.7.x本身已不再受支持,但官方考虑到此漏洞的严重性,才提供了1.8.x的补丁,1.7.x版本没有提供,建议更新到1.9.x版本。

Silkscreen 1.x版本受影响:

Silkscreen 1.9.x版本建议更新到1.9.5.1以上版本,Silkscreen 1.8.x版本建议更新到1.8.4.1版本,Silkscreen 1.7.x版本建议更新到1.7.4以上版本(仅修复CVE-2018-7600的漏洞,此次并未发布),下载地址:

https://github.com/silkscreencms/silkscreen/releases

漏洞缓解措施

威胁等级

高危:目前漏洞细节和测试代码已经公开,强烈建议及时升级安全更新补丁,或是部署WAF等安全防护设备监控漏洞利用情况。

威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序(3月公告的CVE-2018-7600漏洞的利用Drupalgeddon 2已经形成僵尸网络),从而影响到网站服务的正常提供

安全建议

Drupal组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-04-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CSDN技术头条

Apache NiFi 1.0.0测试版:邮件路由应用新型ListenSMTP

本文为用户使用Apache NiFi最新版本来监听SMTP邮件,并以编程方式做出反应以及捕捉数据提供了指导。 ? 首先就可以注意到Apache NiFi 1.0...

239100
来自专栏FreeBuf

Linux爆新漏洞,长按回车键70秒即可获得root权限

按住回车70秒,黑客就能在linux系统绕过认证,进而获取root权限,并能远程控制经过加密的linux系统。 漏洞来源 这个安全问题来源于Cryptsetu...

34850
来自专栏乐百川的学习频道

用本机电脑搭建网站(域名、DNS解析)

最近又准备瞎捣鼓一下个人网站。本来呢,如果是自己玩玩的话,用花生壳或者NAT123这样的动态DNS解析就可以了。但是最近花生壳这个吊玩意不知道怎么又没办法解析了...

1.8K90
来自专栏小白安全

渗透一个网站需要做的事情

一,开始信息收集 1,获取域名的whois信息,获取注册者邮箱姓名电话等。 2,查询服务器旁站,因为主站一般比较难,所以先看看旁站有没有通用性的cm...

42390
来自专栏醉程序

配置nginx + php7 + mongodb的centos服务器环境

23320
来自专栏木头编程 - moTzxx

TP5 验证码功能实现

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u011415782/article/de...

1.1K20
来自专栏北京马哥教育

运维需要懂的那些安全技能

运维行业正在变革,推荐阅读:30万年薪Linux运维工程师成长魔法 以前的认知 以前刚接触IT行业,而我身为运维,我以为我所需要做的安全就是修改服务器密码为复...

68150
来自专栏散尽浮华

Linux下开源邮件系统Postfix+Extmail+Extman环境部署记录

一、基础知识梳理 MUA (Mail User Agent)  MUA 既是"邮件使用者代理人",因为除非你可以直接利用类似 telnet 之类的软件登入邮件主...

63440
来自专栏黑白安全

WEB API安全性

应用程序编程接口(API)是允许应用程序彼此通信的软件中介。它为开发人员构建软件应用程序提供例程,协议和工具,同时以可访问的方式提取和共享数据。

74110
来自专栏信安之路

Linux 应急响应流程及实战演练

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵...

90030

扫码关注云+社区

领取腾讯云代金券