Symfony Flaw让Drupal站点容易受到黑客攻击

是时候更新你的Drupal网站了。

流行的开源内容管理系统Drupal发布了一个新版本的软件来修补安全漏洞，该漏洞可能允许远程攻击者控制受影响的网站。

该漏洞被追踪为CVE-2018-14773，位于第三方库的一个组件中，称为Symfony HttpFoundation组件，该组件在Drupal Core中使用并影响8.5.6之前的Drupal 8.x版本。

由于Symfony（一个带有一组PHP组件的Web应用程序框架）正在被许多项目使用，因此该漏洞可能会使许多Web应用程序面临被黑客攻击的风险。

Symfony组件漏洞

根据Symfony发布的一项咨询，安全绕过漏洞的起源是由于Symfony支持遗留和危险的HTTP标头。

“支持（遗留）IIS标头，允许用户通过X-Original-URL或X-Rewrite-URL HTTP请求标头覆盖请求URL中的路径，允许用户访问一个URL但让Symfony返回另一个URL可以绕过对更高级别缓存和Web服务器的限制，“Symfony说。

远程攻击可以使用特制的“X-Original-URL”或“X-Rewrite-URL”HTTP标头值来利用它，该值会覆盖请求URL中的路径，从而可能绕过访问限制并导致目标系统呈现不同的URL。

该漏洞已在Symfony版本2.7.49,2.8.44,3.3.18,3.4.14,4.0.14和4.1.3中得到修复，Drupal已在其最新版本8.5.6中修补了该问题。

Zend Framework中存在相同的缺陷

除了Symfony之外，Drupal团队还发现Drupal Core中包含的Zend Feed和Diactoros库中也存在类似的漏洞，他们将其命名为“URL Rewrite漏洞”。

然而，流行的CMS表示Drupal Core不使用易受攻击的功能，但建议用户修补他们的网站，如果他们的网站或模块直接使用Zend Feed或Diactoros。

Drupal为数百万个网站提供支持，不幸的是，自从披露了一个名为Drupalgeddon2的高度关键的远程代码执行漏洞之后，CMS最近一直处于主动攻击状态。

因此，在黑客开始利用新漏洞控制您的网站之前，强烈建议您尽快更新您的网站。