Drupal 紧急修复已遭利用的严重 0day
聚焦源代码安全,网罗国内外最新资讯!
Drupal
发布紧急安全更新,修复了一个已存在 exploit 的严重漏洞。利用该漏洞可在某些 CMS 版本上执行任意 PHP 代码。
Drupal 指出,“根据例行安全发布窗口计划,11月25日并非核心安全窗口。然而,鉴于其中一个核心依赖关系的 exploit 已存在且某些 Drupal 配置易受攻击,因此该发布是必要的。”
目前,Drupal 官方数据表示,“在共计1120941个网站中,使用易受攻击 Drupal版本的网站超过94.4万个。这些数据是不完整的;只有使用 Update Status 模块的 Drupal 网站包含其中。“
2.5%的具有内容管理系统的网站都在使用 Drupal,使其成为互联网上的第四大流行 CMS,排在 WordPress (63.8%)、Shopify (5.1%) 和 Joomla (3.6%) 之后。
01
为所有受影响版本发布安全更新
Drupal 在安全公告中指出,该漏洞是由Drupal使用的 PEAR Archive_Tar 库中的两个 bug 引发的:CVE-2020-28948 和 CVE-2020-28949。如果该 CMS 被配置为允许并处理 .tar、.tar.gz、.bz2 或 .tlz 文件上传,则该严重的 Drupal 代码执行漏洞可遭利用。
目前已发布多个 Drupal 安全更新,已修复该漏洞。
Drupal 建议在受影响服务器上安装如下更新:
Drupal 9.0 用户应更新至 Drupal 9.0.9
Drupal 8.9 用户应更新至Drupal 8.9.10
Drupal 8.8 或更早版本的用户应更新至 Drupal 8.8.12
Drupal 7 用户应更新至 Drupal 7.75
Drupal 的安全团队指出,“早于8.8.x 的 Drupal 8 版本已到达生命周期,因此不在安全更新范围内。”
02
缓解措施
无法在服务器上立即更新 Drupal 的管理员也可采用缓解措施。
为此,建议站点管理员拦截不受信任的用户上传 .tar、.tar.gz、.bz2 或 .tlz 文件,临时缓解该问题。
美国国土安全局网络安全和基础设施安全局 CISA 也发布警告,督促管理员和用户更新至已修复的 Drupal 版本。
上周,Drupal 修复了另外一个严重的远程代码执行漏洞 (CVE-2020-13671)。该漏洞由对所上传文件的文件名清理不当造成。Drupal 表示,“特别注意如下文件扩展,其后跟着一个或多个其它扩展,它们也是危险的:phar、PHP、pl、py、cgi、asp、js、HTML、htm 和 phtml。我们并未列出全部扩展,因此应当基于具体案例评估其它未遭破坏的扩展的安全性。“
Drupal 安全通告请见:
https://www.drupal.org/sa-core-2020-013
推荐阅读
Drupal 修复远程代码执行漏洞
开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞
开源 CMS Drupal 修复 XSS 和开放重定向漏洞
原文链接
https://www.bleepingcomputer.com/news/security/drupal-issues-emergency-fix-for-critical-bug-with-known-exploits/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Drupal 紧急修复已遭利用的严重 0day相关推荐
- 谷歌紧急修复已遭利用的新 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周五,谷歌紧急修复已遭利用的 Chrome 0day (CVE-2022-1096),和 V8 JavaScript 引擎中的类型混淆漏洞有关 ...
- Sophos 紧急修复已遭利用的防火墙 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周六,网络安全公司 Sophos 发布紧急安全更新,修复在其 XG 企业防火墙产品中已遭在野利用的一个0day. Sophos 表示 ...
- 苹果紧急修复已遭利用的两个0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 周四,苹果公司紧急更新被用于攻击 iPhone.iPad 和 Mac 的两个0day (CVE-2022-22674和CVE-2022-2267 ...
- 谷歌Chrome 紧急修复已遭利用的两个0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布适用于 Windows.Mac 和 Linux 系统的 Chrome 95.0.4638.69 版本,修复已遭利用的两个0day(CVE ...
- Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现此前 Apache 发布的安全更新未能正确修复已遭利用的 0day (CVE-2021-41773),Apache 软件基金会紧急修 ...
- 苹果紧急修复已遭利用的0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 距离上次为 iOS.iPadOS.macOS 和 watchOS 发布带外补丁仅数周之久,苹果公司再次紧急修复已遭在野利用的 0day ...
- 谷歌修复已遭利用的 Chrome 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌修复了 Chrome 88.0.4324.150版本中一个已遭利用的 0day 漏洞,影响 Windows.Mac 和 Linux ...
- 微软补丁星期二修复已遭利用的 Defender 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 微软在2021年1月补丁星期二中共修复了83个漏洞,其中10个为"严重"级别,1个已遭利用.它们影响Windows ...
- 谷歌紧急修复已遭在野利用的0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 摘要 谷歌发布 Windows.Mac 和 Linux 版本的 Chrome 100.0.4896.127,修复已遭利用的高危0day漏洞(CV ...
最新文章
- 来!一起搭建个永久运行的个人服务器吧!
- c# 第9节 数据类型之引用类型
- 深入Python(2): __init__.py 用法
- 安卓高级6 拍照或者从相册获取图片 并检测旋转角度或者更新画册扫描
- nvidia docker容器不支持中文的解决办法_用docker搭建深度学习实验环境
- 发布json数据_数据库每周国际新闻 20201211
- 【转摘】Word中查找与替换的妙用
- 【记录】vmware fusion 7 windows 10 unidentified network
- 【论文阅读】开放域问答论文总结,文本召回与问答的另一种思路
- self-利用self在类封装的方法中输出对象属性
- oracle与mysql的区别总结(一)
- (转)Spring Boot(四):Thymeleaf 使用详解
- JS数据类型 构造函数 原型链
- 曼哈顿交易 - 题解
- 华大基因辟谣“基因编辑58个婴儿”;苹果发布头戴式耳机AirPods Max;Debian 10.7发布|极客头条...
- 漫谈数据仓库之拉链表(原理、设计以及在Hive中的实现)
- 云课堂 php代码,基于ThinkPHP二开高仿网易云课堂整站PHP源代码
- eclipse Failed to create the part's controls 解决方法
- 建筑企业收并购系列二:吸收合并政策影响
- 漫谈数据保护和个人信息加密