聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
本周三发布的Drupal 7、8.5和8.6版本解决了两个潜在的严重漏洞问题,它们可被用于执行任意代码。
远程代码执行漏洞
其中一个缺陷被描述为可导致远程执行任意PHP代码的弱点。该问题和内置到PHP中的phar流包装器以及它处理不受信任的phar:// URI有关。
Drupal开发人员在安全公告中指出,“某些Drupal代码(core、contrib和custom)可能正在未经充分验证的用户输入中执行文件操作,因此易受该漏洞影响。它可经由这样一种事实得以缓解:这种代码路径一般要求访问管理权限或非典型配置。”
为解决该漏洞,Drupal开发人员已决定在危险的扩展列表中加入.phar。因此,所有上传至Drupal的.phar文件将被自动转化为.txt,以阻止这些文件被执行。
另外,Drupal已决定禁用运行早于5.3.3 PHP版本的Drupal 7站点上的phar://包装器。早期的PHP版本虽然可以重新手动启用该包装器,但它也同时导致漏洞被重新引入,因此建议用户更新PHP版本。
任意文件删除漏洞
Drupal最新版本修复的第二个漏洞和处理PHP中.tar文件的第三方库PEAR Archive_Tar有关。通过phar包装器和一个特殊构造的.tar文件即可利用该缺陷,从而导致任意文件被删除、甚至是远程代码执行的问题。
两个严重漏洞已修复
Drupal 8.6.6、8.5.9和7.62中已修复这两个漏洞。早于8.5.x的Drupal 8版本的生命周期将结束,因此不再接受安全更新。
这两个漏洞均被评级为“严重”级别。然而,值得注意的是,Drupal是基于NIST常见误用评分系统(Common Misuse Scoring System)而非按照CVSS 标准评分的,也就是说这里的“严重”实际上仅次于“高危”级别。
Drupal开发人员还宣布称,从现在开始,将为每个已修复的Drupal漏洞发布单独的安全公告,而目前多个漏洞在同一份的安全公告中发布。
网络犯罪分子一直都在利用Drupal漏洞攻击网站,而这也是建议用户应当更新至最新版本的重要原因。
https://www.securityweek.com/two-code-execution-flaws-patched-drupal
领取专属 10元无门槛券
私享最新 技术干货