关于Drupal Core远程代码执行漏洞的预警通报 - 西藏自治区通信管理局信息网

网络安全

关于Drupal Core远程代码执行漏洞的预警通报

发布时间: 2018-04-28 16:38:02    浏览次数: 72

关于Drupal Core远程代码执行漏洞的预警通报

2018年4月26日,国家信息安全漏洞共享平台(CNVD)收录了Drupal Core远程代码执行漏洞(CNVD-2018-08523,对应CVE-2018-7602)。综合利用上述漏洞,攻击者可实现远程代码执行攻击。部分漏洞验证代码已被公开,近期被不法分子利用进行大规模攻击的可能性较大,厂商已发布补丁进行修复。

一、漏洞情况分析

Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统,用PHP语言写成。Drupal在业界常被视为内容管理框架,而与一般意义上的内容管理系统存在差异。

2018年3月29日,CNVD收录了Drupal 6、7、8多个子版本存在远程代码执行漏洞,远程攻击者可利用该漏洞执行任意代码(http://www.cnvd.org.cn/webinfo/show/4463)。但由于Drupal官方对该漏洞修复不完全,导致补丁可以被绕过,造成任意代码执行:Drupal官方发布的漏洞补丁通过过滤带有“#”的输入来处理请求数据(GET、POST、COOKIE和REQUEST),但是Drupal应用还会处理path?destination=URL形式的请求,发起请求需要对destination=URL中的URL进行编码,攻击者对URL中的“#”进行两次编码即可绕过sanitize()函数的过滤,从而实现远程代码执行。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

受影响版本:Drupal的7.x和8.x版本受此漏洞影响。

修复版本:Drupal 7.59、Drupal 8.5.3和Drupal 8.4.8。

CNVD秘书处对该系统在全球的分布情况进行了统计,全球系统规模约为30.9万,用户量排名前五的分别是美国(48.5%)、德国(8.1%)、法国(4%)、英国(3.8%)和俄罗斯(3.7%),而在我国境内分布较少(0.88%)。

三、漏洞修复建议

目前,厂商已发布补丁和安全公告以修复该漏洞,具体修复建议如下:Drupal 7.x请升级到Drupal 7.59版本。

    官方给出7.X版本补丁,若用户无法立即升级版本,请更新补丁,补丁地址为ttps://cgit.drupalco

de.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0。

    Drupal 8.5.x请升级到Drupal 8.5.3版本。官方给出8.X版本补丁,若用户无法立即升级版本,请更新补丁,补丁地址为https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169

da29456ba3db59abae4b7e。

    Drupal 8.4.x版本请升级到8.4.8版本,官方给出8.X版本补丁,若用户无法立即升级版本,请更新补丁,补丁地址为https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29

456ba3db59abae4b7e。

 

 

国家计算机网络与信息安全管理中心西藏分中心

                                                          2018年4月27日


附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006