• 本文作者: 天融信安全应急响应中心
  • |
  • 2018年3月29日
  • |
  • 漏洞预警
  • |

Drupal core 远程代码执行漏洞预警

 

一、漏洞描述

1.1漏洞编号

CVE编号: CVE-2018-7600

 

1.2漏洞影响

   这是一个远程执行代码漏洞,它会影响Drupal中的多个子系统,导致完整的网站泄露。该漏洞被指定为CVE-2018-7600,任何匿名(未经身份验证)的用户都可以通过发送恶意制作的请求来利用该漏洞。根据补丁版本中的最新Git提交,以前版本的DrupalGET请求查询参数,POST请求主体数据和cookie值缺少适当的清理。截至目前,开发团队的技术故障尚未公开发布。

 

二、修复建议

2.1影响版本

Drupal 6 Drupal 7.x 、 8.x

 

2.2解决方案

建议用户升级到最新版本的Drupal 7 / 8 core

  • 如果您运行的是7.x版本的Drupal, 请升级到 Drupal 7.58(如果您不能立即升级,可以尝试按以下网页指定的方案暂时修复该漏洞,直到您准备好进行升级https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5)
  • 如果您运行的8.5.x版本的Drupal, 请升级到Drupal 8.5.1(如果您不能立即升级,可以尝试按以下网页指定的方案暂时修复该漏洞,直到您准备好进行升级https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

 

Drupal 8.3.x8.4.x不再受支持,官方不会为不受支持的次要版本提供安全版本。 但是,考虑到此问题的严重性,官方提供了针对8.3.x8.4.x版本修复程序。

即使您在8.3.x8.4.x上,您站点的更新报告页面也会推荐8.5.x版本。 安装此安全更新后,请花时间更新到受支持的版本。

  • 如果您正在运行8.3.x,请升级到Drupal 8.3.9安装此修补程序(https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f)。
  • 如果您正在运行8.4.x,请升级到Drupal 8.4.6或安装此修补程序(https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

 

该漏洞同样影响Drupal 8.2.x和更早的版本,官方不再提供支持。 如果您正在运行这些版本的Drupal 8,请更新到更新版本,然后按照上述说明操作。

该漏洞同样影响Drupal 6. 但官方针对Drupal 6 已经完全停止支持 有关Drupal 6支持的更多信息,请联系D6LTS供应商。

 

2.3其它建议

关注Drupal官方网站,详细了解Drupal安全政策, 以保护您的网站。

Written by 天融信安全应急响应中心