一、漏洞描述
1.1漏洞编号
CVE编号: CVE-2018-7600
1.2漏洞影响
这是一个远程执行代码漏洞,它会影响Drupal中的多个子系统,导致完整的网站泄露。该漏洞被指定为CVE-2018-7600,任何匿名(未经身份验证)的用户都可以通过发送恶意制作的请求来利用该漏洞。根据补丁版本中的最新Git提交,以前版本的Drupal对GET请求查询参数,POST请求主体数据和cookie值缺少适当的清理。截至目前,开发团队的技术故障尚未公开发布。
二、修复建议
2.1影响版本
Drupal 6 、Drupal 7.x 、 8.x
2.2解决方案
建议用户升级到最新版本的Drupal 7 / 8 core
- 如果您运行的是7.x版本的Drupal, 请升级到 Drupal 7.58。(如果您不能立即升级,可以尝试按以下网页指定的方案暂时修复该漏洞,直到您准备好进行升级。https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5)
- 如果您运行的是8.5.x版本的Drupal, 请升级到Drupal 8.5.1(如果您不能立即升级,可以尝试按以下网页指定的方案暂时修复该漏洞,直到您准备好进行升级https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f)
Drupal 8.3.x和8.4.x不再受支持,官方不会为不受支持的次要版本提供安全版本。 但是,考虑到此问题的严重性,官方提供了针对8.3.x和8.4.x版本修复程序。
即使您在8.3.x或8.4.x上,您站点的更新报告页面也会推荐8.5.x版本。 安装此安全更新后,请花时间更新到受支持的版本。
- 如果您正在运行8.3.x,请升级到Drupal 8.3.9或安装此修补程序(https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f)。
- 如果您正在运行8.4.x,请升级到Drupal 8.4.6或安装此修补程序(https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f)
该漏洞同样影响Drupal 8.2.x和更早的版本,官方不再提供支持。 如果您正在运行这些版本的Drupal 8,请更新到更新版本,然后按照上述说明操作。
该漏洞同样影响Drupal 6. 但官方针对Drupal 6 已经完全停止支持。 有关Drupal 6支持的更多信息,请联系D6LTS供应商。
2.3其它建议
关注Drupal官方网站,详细了解Drupal安全政策, 以保护您的网站。