Drupal 修复两个严重的代码执行缺陷

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

本周三发布的Drupal 7、8.5和8.6版本解决了两个潜在的严重漏洞问题，它们可被用于执行任意代码。

远程代码执行漏洞

其中一个缺陷被描述为可导致远程执行任意PHP代码的弱点。该问题和内置到PHP中的phar流包装器以及它处理不受信任的phar:// URI有关。

Drupal开发人员在安全公告中指出，“某些Drupal代码（core、contrib和custom）可能正在未经充分验证的用户输入中执行文件操作，因此易受该漏洞影响。它可经由这样一种事实得以缓解：这种代码路径一般要求访问管理权限或非典型配置。”

为解决该漏洞，Drupal开发人员已决定在危险的扩展列表中加入.phar。因此，所有上传至Drupal的.phar文件将被自动转化为.txt，以阻止这些文件被执行。

另外，Drupal已决定禁用运行早于5.3.3 PHP版本的Drupal 7站点上的phar://包装器。早期的PHP版本虽然可以重新手动启用该包装器，但它也同时导致漏洞被重新引入，因此建议用户更新PHP版本。

任意文件删除漏洞

Drupal最新版本修复的第二个漏洞和处理PHP中.tar文件的第三方库PEAR Archive_Tar有关。通过phar包装器和一个特殊构造的.tar文件即可利用该缺陷，从而导致任意文件被删除、甚至是远程代码执行的问题。

两个严重漏洞已修复

Drupal 8.6.6、8.5.9和7.62中已修复这两个漏洞。早于8.5.x的Drupal 8版本的生命周期将结束，因此不再接受安全更新。

这两个漏洞均被评级为“严重”级别。然而，值得注意的是，Drupal是基于NIST常见误用评分系统(Common Misuse Scoring System)而非按照CVSS 标准评分的，也就是说这里的“严重”实际上仅次于“高危”级别。

Drupal开发人员还宣布称，从现在开始，将为每个已修复的Drupal漏洞发布单独的安全公告，而目前多个漏洞在同一份的安全公告中发布。

网络犯罪分子一直都在利用Drupal漏洞攻击网站，而这也是建议用户应当更新至最新版本的重要原因。

https://www.securityweek.com/two-code-execution-flaws-patched-drupal