Drupalgeddon2-Drupal核心远程代码执行

长 亭 漏 洞 预 警

Drupalgeddon2 - Drupal核心远程代码执行

事件来源

官方在2018年3月28日发布了Drupal新版本7.58/8.5.1/8.3.9/8.4.6,修复了影响Drupal多个子版本的远程代码执行严重漏洞。

此漏洞由芬兰的安全研究者Jasper Mattsson发现并报告。Jasper在Druid从事工作,他们为使用Drupal的站点提供包括代码安全审计在内的各种安全服务。

漏洞描述

CVE-2018-7600

Drupal 7.x 和 8.x 多个子系统被发现存在远程代码执行漏洞,攻击者可能利用此漏洞完全控制使用Drupal的站点。Drupal团队将该漏洞的严重程度分数设置为21(1至25分),安全缺陷定义为非常严重。

影响范围

Drupal8

Drupal7

Drupal6

解决方案

7.x版本请升级到Drupal 7.58。

如果无法立马升级,请更新使用补丁:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

8.5.x版本请升级到Drupal 8.5.1。

如果无法立马升级,请更新使用补丁:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

Drupal 8.3.x and 8.4.x本身官方已经不再维护,但考虑到这个漏洞的严重性,官方依然给出了对应的补丁(不过依然强烈建议更新好补丁后尽快升级到官方支持维护的8.3或8.4版本):

8.3.x请升级到Drupal 8.3.9,或者更新使用补丁(同8.5.x补丁):

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

8.4.x请升级到Drupal 8.4.6,或者更新使用补丁(同8.5.x补丁):

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

Drupal 8.0/8.1/8.2版本已彻底不再维护,如果你在使用这些版本的Drupal,请尽快更新到8.3.9或8.4.6版本。

Drupal 6也受到漏洞影响,此版本由Drupal 6 Long Term Support维护。请参考:https://www.drupal.org/project/d6lts

参考资料

https://www.drupal.org/sa-core-2018-002

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180329B0NL4T00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券