服务热线: 0371-65995777
   
 
关于Drupal Core 远程代码执行漏洞(CVE-2019-6340)的安全预警
文章来源 :大数据通信      发布时间 :2019/2/25 10:24:20
 

一、概要

近日,Drupal官方发布了安全更新,其中披露了一个高危级别的远程代码执行漏洞(CVE-2019-6340)。漏洞是由于传入RESTful Web服务的数据在某些字段类型中缺少适当的安全过滤造成的,漏洞成功利用可导致目标主机上远程代码执行。

请使用到Drupal的租户检查当前使用的版本,及时升级到安全版本。

利用漏洞:CVE-2019-6340

参考链接:

https://www.drupal.org/sa-core-2019-003

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急。)

三、影响范围

Drupal < 8.6.10版本

Drupal < 8.5.11版本

四、修复和缓解方法

修复方法:

Drupal 8.6.x 版本升级到 Drupal 8.6.10 版本:

https://www.drupal.org/project/drupal/releases/8.6.10

Drupal 8.5.x 或更早期版本需升级到 Drupal 8.5.11 版本:

https://www.drupal.org/project/drupal/releases/8.5.11

Drupal 7不需要内核更新,但是使用到Drupal 7的贡献模块(contributed modules)需进行升级,参考如下:

https://www.drupal.org/security/contrib

缓解措施:

禁用所有Web服务模块,或者禁止Web服务器接受Put/Patch/Post请求。(注意:根据服务器的配置,Web服务可以在多个路径上访问。在Drupal 7上,资源通常可以通过路径以及“q”查询参数的结合进行查询。对于Drupal 8,若前缀为index.php/,路径依然可以正常访问)

注意:修复漏洞前请将资料备份,并进行充分测试。