聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
Drupal中被曝潜在的严重的远程代码执行漏洞,可导致攻击者黑掉并劫持网站。网站管理员们应尽快更新。
该漏洞的编号是CVE-2019-6340,是由Drupal未能正确检查RESTful web服务的数据造成的。
如漏洞被成功利用,可导致黑客在目标网站的服务器上远程运行恶意代码并控制网站。Drupal将该漏洞评级为“高危”,并建议管理员尽快打补丁。
Drupal团队披露该漏洞时表示,“某些字段类型并未正确地清洁非表单来源数据。在某种情况下可导致任意PHP代码执行。”
如果网站由Drupal 8内核驱动,且启用了RESTful Web Service (rest)模块,且处理PATCH或POST请求,或该网站启用了另外的web服务如Drupal 8中的JASON:API或Drupal 7中的Services或RESTful Web Services,则易受攻击。
运行Drupal 8的站点可升级至版本8.6.10或8.5.11修复该漏洞。更早版本的Drupal 8不再受支持且不再接收补丁。虽然Drupal 7本身并非直接易受攻击,但该漏洞可能存在于多个模块中,因此管理员应当查看它们当中是否已有安全更新。
同时,Drupal表示好,所有的网站都能够缓解该缺陷,有效地解决攻击向量,方法是禁用web服务商的PUT/PATCH/POST请求或关闭web服务模块即可。
Drupal团队表示,“根据服务器的配置,多种路径上可能存在web服务资源。对于Drupal 7而言,这些资源可通过路径(清洁的URL)和通过‘q’查询参数的多种参数获取。对于Drupal 8而言,当路径以index.php/为前缀时,路径可能仍然起作用。”
该漏洞是由Drupal安全团队的Samuel Mortenson发现并报告的。
Drupal此前也修复了不少高危漏洞。去年夏天,严重漏洞“Drupalgeddon”触发了多个高优先级补丁,而它可导致远程服务器劫持的严重后果。
https://www.theregister.co.uk/2019/02/20/drupal_cve_2019_6340/
领取专属 10元无门槛券
私享最新 技术干货