聚焦源代码安全，网罗国内外最新资讯！

Drupal

发布紧急安全更新，修复了一个已存在 exploit 的严重漏洞。利用该漏洞可在某些 CMS 版本上执行任意 PHP 代码。

Drupal 指出，“根据例行安全发布窗口计划，11月25日并非核心安全窗口。然而，鉴于其中一个核心依赖关系的 exploit 已存在且某些 Drupal 配置易受攻击，因此该发布是必要的。”

目前，Drupal 官方数据表示，“在共计1120941个网站中，使用易受攻击 Drupal版本的网站超过94.4万个。这些数据是不完整的；只有使用 Update Status 模块的 Drupal 网站包含其中。“

2.5%的具有内容管理系统的网站都在使用 Drupal，使其成为互联网上的第四大流行 CMS，排在 WordPress (63.8%)、Shopify (5.1%) 和 Joomla (3.6%) 之后。

01

为所有受影响版本发布安全更新

Drupal 在安全公告中指出，该漏洞是由Drupal使用的 PEAR Archive_Tar 库中的两个 bug 引发的：CVE-2020-28948 和 CVE-2020-28949。如果该 CMS 被配置为允许并处理 .tar、.tar.gz、.bz2 或 .tlz 文件上传，则该严重的 Drupal 代码执行漏洞可遭利用。

目前已发布多个 Drupal 安全更新，已修复该漏洞。

Drupal 建议在受影响服务器上安装如下更新：

• Drupal 9.0 用户应更新至 Drupal 9.0.9

• Drupal 8.9 用户应更新至Drupal 8.9.10

• Drupal 8.8 或更早版本的用户应更新至 Drupal 8.8.12

• Drupal 7 用户应更新至 Drupal 7.75

Drupal 的安全团队指出，“早于8.8.x 的 Drupal 8 版本已到达生命周期，因此不在安全更新范围内。”

02

缓解措施

无法在服务器上立即更新 Drupal 的管理员也可采用缓解措施。

为此，建议站点管理员拦截不受信任的用户上传 .tar、.tar.gz、.bz2 或 .tlz 文件，临时缓解该问题。

美国国土安全局网络安全和基础设施安全局 CISA 也发布警告，督促管理员和用户更新至已修复的 Drupal 版本。

上周，Drupal 修复了另外一个严重的远程代码执行漏洞 (CVE-2020-13671)。该漏洞由对所上传文件的文件名清理不当造成。Drupal 表示，“特别注意如下文件扩展，其后跟着一个或多个其它扩展，它们也是危险的：phar、PHP、pl、py、cgi、asp、js、HTML、htm 和 phtml。我们并未列出全部扩展，因此应当基于具体案例评估其它未遭破坏的扩展的安全性。“

Drupal 安全通告请见：

https://www.drupal.org/sa-core-2020-013

推荐阅读

Drupal 修复远程代码执行漏洞

开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

开源 CMS Drupal 修复 XSS 和开放重定向漏洞

原文链接

https://www.bleepingcomputer.com/news/security/drupal-issues-emergency-fix-for-critical-bug-with-known-exploits/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~