• <cite id="us9d6"></cite>
  • <tt id="us9d6"><noscript id="us9d6"></noscript></tt>
  • <cite id="us9d6"></cite>

      <cite id="us9d6"><span id="us9d6"></span></cite>
    1. <cite id="us9d6"></cite>

    2. <tt id="us9d6"><span id="us9d6"></span></tt><rp id="us9d6"></rp><s id="us9d6"><div id="us9d6"></div></s>
    3. 當前位置: 首頁 >> 信息安全 >> 正文

      關于Drupal core遠程代碼執行漏洞的安全公告

      2018年04月12日 17:21  點擊:[]

            2018年3月29日,國家信息安全漏洞共享平臺(CNVD)收錄了Drupal core遠程代碼執行漏洞(CNVD-2018-06660,對應CVE-2018-7600)。綜合利用上述漏洞,攻擊者可實現遠程代碼執行攻擊。目前,漏洞細節尚未公開。 

           一、漏洞情況分析  

             Drupal是一個由Dries Buytaert創立的自由開源的內容管理系統,用PHP語言寫成。在業界Drupal常被視為內容管理框架,而非一般意義上的內容管理系統。

             Drupal 6,7,8多個子版本存在遠程代碼執行漏洞,遠程攻擊者可利用該漏洞執行任意代碼,從而影響到業務系統的安全性。

             CNVD對上述漏洞的綜合評級為“高?!?。

             二、漏洞影響范圍

             Drupal的6.x,7.x和8.x版本受此漏洞影響。

             CNVD秘書處對該系統在全球的分布情況進行了統計,全球系統規模約為30.9萬,用戶量排名前五的分別是美國(48.5%)、德國(8.1%)、法國(4%)、英國(3.8%)和俄羅斯(3.7%),而在我國境內的分布較少(0.88%)。

             三、漏洞修復建議  

             目前,廠商已發布補丁和安全公告以修復該漏洞,具體修復建議如下:

             1)推薦更新

             主要支持版本推薦更新到Drupal相應的最新子版本。

             7.x版本更新到7.58

             更新地址:https://www.drupal.org/project/drupal/releases/7.58

             8.5.x版本更新到8.5.1

             更新地址:https://www.drupal.org/project/drupal/releases/8.5.1

             8.4.x版本更新到8.4.6

             更新地址:https://www.drupal.org/project/drupal/releases/8.4.6

             8.3.x版本更新到8.3.9

             更新地址:https://www.drupal.org/project/drupal/releases/8.3.9

             2)使用patch更新

             如果不能立即更新,請使用對應patch。

             8.5.x,8.4.x,8.3.x patch地址:

            https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f  

             7.x patch地址:

           https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5  

             3)其他不支持版本

             Drupal 8.0/8.1/8.2版本已徹底不再維護,如果還在使用這些版本的Drupal,請盡快更新到8.3.9或8.4.6版本。

             Drupal 6也受到漏洞影響,此版本由Drupal 6 Long Term Support維護。

             參考https://www.drupal.org/project/d6lts

            附:參考鏈接:  

            https://www.drupal.org/sa-core-2018-002  

            https://groups.drupal.org/security/faq-2018-002  

            http://www.cnvd.org.cn/flaw/show/CNVD-2018-06660  

      上一條:計算機查詢軟件(非涉密) 下一條:關于Memcached服務器反射攻擊的情況通報(第2期)

      成长AV影片免费观看网站,大香伊蕉99大香伊蕉免费视频,大香伊蕉在人线国产AV_日韩