Drupal核心远程代码执行

关注圣博润了解更多!

war

W

ning

·漏·洞·预·警·

作为一家专业的网络安全服务供应商,圣博润特别注重对最新安全漏洞的发现和追踪,以“及时性、准确性、层次性”为宗旨,为用户提供漏洞预警、通告及响应服务。

Drupal简介

Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架),即:CMS+ framework。其中 framework是指Drupal内核中的功能强大的PHP类库和PHP函数库,以及在此基础上抽象的Drupal API,在业界广泛使用。

近日,Drupal官方发布新补丁和安全公告,Drupal 6,7,8多个子版本存在远程代码执行漏洞(CVE-2018-7600)。

1

漏洞描述

2

修复方案

虽然漏洞细节暂未公开,仍然建议使用Drupal开源内容管理系统的用户进行更新。

推荐更新

主要支持版本推荐更新到Drupal相应的最新子版本

7.x版本,更新到 7.58

https://www.drupal.org/project/drupal/releases/7.58

8.5.x版本,更新到 8.5.1

https://www.drupal.org/project/drupal/releases/8.5.1

8.4.x 版本,更新到 8.4.6

https://www.drupal.org/project/drupal/releases/8.4.6

8.3.x 版本,更细到 8.3.9

https://www.drupal.org/project/drupal/releases/8.3.9

使用patch更新

如果不能立即更新,请使用对应patch

8.5.x,8.4.x,8.3.x patch地址:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

7.x patch地址:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

其他不支持版本

Drupal 8.0/8.1/8.2版本已彻底不再维护,如果你在使用这些版本的Drupal,请尽快更新到8.3.9或8.4.6版本

Drupal 6也受到漏洞影响,此版本由Drupal 6 Long Term Support维护。

参考https://www.drupal.org/project/d6lts

3

参考链接

https://www.drupal.org/sa-core-2018-002

https://www.anquanke.com/post/id/103102

检索最新漏洞信息

提供漏洞预警、通告及响应服务

圣博润

网络安全产品研发 | 信息安全咨询服务 |

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180330G1FQT400?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券