一个专业运
维技术分享!

【漏洞预警】Drupal高危安全漏洞风险提示

Drupal高危安全漏洞风险提示:

 

【漏洞公告】

近日,Drupal官方发布了关于Drupal core存在远程代码执行漏洞安全公告,漏洞对应CVE编号:CVE-2020-36193,相关链接:

https://www.drupal.org/sa-core-2021-001

根据公告,Drupal使用了Archive_Tar库,在处理.tar、.tar.gz、.bz2、.tlz等格式的压缩包文件时因过滤不严导致目录穿越,攻击者通过构造上传特定的压缩包文件,可利用该漏洞实现远程代码执行,造成服务器被入侵。建议使用Drupal的用户尽快更新到安全版本。

Drupal历史安全公告列表:

https://www.drupal.org/security

 

【影响范围】

CVE-2020-36193 远程代码执行漏洞影响以下Drupal Core版本:

Drupal 9.1分支版本,建议更新到Drupal 9.1.3以上版本

Drupal 9.0分支版本,建议更新到Drupal 9.0.11以上版本

Drupal 8.9分支版本,建议更新到Drupal 8.9.13以上版本

Drupal 7分支版本,建议更新到Drupal 7.78以上版本

注意:8.9.x之前的Drupal 8分支版本已经维护,已不提供安全更新。

 

【漏洞描述】

CVE-2020-36193漏洞,根据分析,Drupal使用的composer引用了存在严重漏洞的pear/archive_tar: 1.4.11库,在处理tar文件时未对符号链接进行严格校验导致目录穿越。攻击者通过上传构造好的tar文件并利用解压过程中的目录穿越可将web shell写入网站目录,进而造成服务器被黑客控制。

 

【漏洞检测】

登陆管理后台,依次点击“管理”-“日志”-“报告状态”,可查看当前Drupal的版本。

上图目标中,Drupal版本在漏洞影响范围内且未对系统安装相应补丁,则说明存在风险。

 

【缓解措施】

高危:目前漏洞细节和利用代码已公开,并已验证漏洞的可利用性,建议及时测试并升级到漏洞修复的版本。

官方修复建议:

升级Drupal至官方安全版本

官方安全版本下载地址:

Drupal 9.1.3

https://www.drupal.org/project/drupal/releases/9.1.3

Drupal 9.0.11

https://www.drupal.org/project/drupal/releases/9.0.11

Drupal 8.9.13

https://www.drupal.org/project/drupal/releases/8.9.13

Drupal 7.78

https://www.drupal.org/project/drupal/releases/7.78

临时缓解措施:

禁止用户上传.tar、.tar.gz、.bz2或.tlz文件,或者非必须使用Archive_Tar库可使用composer卸载相关组件。

赞(2) 打赏
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。小柳实验室 » 【漏洞预警】Drupal高危安全漏洞风险提示

评论 抢沙发

评论前必须登录!

 

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏