Drupalgeddon2-Drupal核心远程代码执行

长 亭 漏 洞 预 警

Drupalgeddon2 - Drupal核心远程代码执行

事件来源

官方在2018年3月28日发布了Drupal新版本7.58/8.5.1/8.3.9/8.4.6，修复了影响Drupal多个子版本的远程代码执行严重漏洞。

此漏洞由芬兰的安全研究者Jasper Mattsson发现并报告。Jasper在Druid从事工作，他们为使用Drupal的站点提供包括代码安全审计在内的各种安全服务。

漏洞描述

CVE-2018-7600

Drupal 7.x 和 8.x 多个子系统被发现存在远程代码执行漏洞，攻击者可能利用此漏洞完全控制使用Drupal的站点。Drupal团队将该漏洞的严重程度分数设置为21（1至25分），安全缺陷定义为非常严重。

影响范围

Drupal8

Drupal7

Drupal6

解决方案

7.x版本请升级到Drupal 7.58。

如果无法立马升级，请更新使用补丁：

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

8.5.x版本请升级到Drupal 8.5.1。

如果无法立马升级，请更新使用补丁：

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

Drupal 8.3.x and 8.4.x本身官方已经不再维护，但考虑到这个漏洞的严重性，官方依然给出了对应的补丁（不过依然强烈建议更新好补丁后尽快升级到官方支持维护的8.3或8.4版本）：

8.3.x请升级到Drupal 8.3.9，或者更新使用补丁（同8.5.x补丁）：

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

8.4.x请升级到Drupal 8.4.6，或者更新使用补丁（同8.5.x补丁）：

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

Drupal 8.0/8.1/8.2版本已彻底不再维护，如果你在使用这些版本的Drupal，请尽快更新到8.3.9或8.4.6版本。

Drupal 6也受到漏洞影响，此版本由Drupal 6 Long Term Support维护。请参考：https://www.drupal.org/project/d6lts

参考资料

https://www.drupal.org/sa-core-2018-002