2020年11月26日,Drupal官方发布一则最新安全公告SA-CORE-2020-013,本次公告中包含一个Critical 漏洞:Drupal远程代码执行漏洞,Drupal官方评分:18/25。该漏洞可造成任意PHP代码执行。顾该漏洞影响较大。
漏洞名称
:
Drupal远程代码执行漏洞
威胁等级
: 高
危
影响范围
:
Drupal < 9.0.9
Drupal < 8.9.10
Drupal < 8.8.12
Drupal < 7.75
漏洞类型
:
远程代码执行
利用难度
: 一般
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。其中Framework是指Drupal内核中的功能强大的PHP类库和PHP函数库,以及在此基础上抽象的Drupal API。Drupal综合了强大并可自由配置的功能,能支持从个人博客(Personal Weblog)到大型社区驱动(Community-Driven)的网站等各种不同应用的网站项目,应用十分广泛。并且Drupal的代码在安全性、健壮性上具有世界最高水平,使得国外包括美国白宫、美国商务部、纽约时报、SONY等多家政府以及机构采用建站,在国内,也有许多高校采用Drupal来建设网站。
2020年11月26日,Drupal官方发布一则最新安全公告
SA-CORE-2020-013
,本次公告中包含一个
Critical
漏洞:Drupal远程代码执行漏洞,Drupal官方评分:18/25。该漏洞可造成任意PHP代码执行。该漏洞影响较大。
该漏洞是由于Drupal项目使用了PEAR Archive_Tar库。PEAR Archive_Tar库近期已经发布了一次安全更新。该次安全更新修复了两个高危漏洞(CVE-2020-28948,CVE-2020-28949),更多有关信息,参见:
CVE-2020-28948
CVE-2020-28949
如果Drupal的系统配置允许.tar、.tar.gz、.bz2或.tlz等类型的文件上传,并对上传文件进行处理,系统则可能存在该命令执行漏洞。
Drupal < 9.0.9
Drupal < 8.9.10
Drupal < 8.8.12
Drupal < 7.75
-
如果用户使用了Drupal 9.0系列版本,建议立即升级到最新的Drupal 9.0.9版本:https://www.drupal.org/project/drupal/releases/9.0.9
-
如果用户使用了Drupal 8.9系列版本,建议立即升级到最新的Drupal 8.9.10版本:https://www.drupal.org/project/drupal/releases/8.9.10
-
如果用户使用了Drupal 8.8系列版本,建议立即升级到最新的Drupal 8.8.12版本:https://www.drupal.org/project/drupal/releases/8.8.12
-
如果用户使用了Drupal 7 系列版本,建议立即升级到最新的Drupal 7.75版本:https://www.drupal.org/project/drupal/releases/7.75
根据客户的自身业务需求,可临时禁止不受信任的用户上传.tar、.tar.gz、.bz2或.tlz文件,缓解此问题。
【
深信服安全云眼
】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【
深信服云镜
】在漏洞爆发第一时间即完成检测能力的发布,部署云端版云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力
2020/11/26
Drupal 官方发布安全公告
