千龍網北京4月28日訊 據國家互聯網應急中心網站消息, 4月26日, 國家資訊安全性漏洞共用平臺(CNVD)收錄了Drupal核心遠端代碼執行漏洞(CNVD-2018-08523, 對應CVE-2018-7602)。 綜合利用上述漏洞, 攻擊者可實現遠端代碼執行攻擊。 部分漏洞驗證代碼已被公開, 近期被不法分子利用進行大規模攻擊的可能性較大, 廠商已發佈補丁進行修復。
漏洞情況分析
Drupal是一個由Dries Buytaert創立的自由開源的內容管理系統, 用PHP語言寫成。 在業界Drupal常被視為內容管理框架, 而非一般意義上的內容管理系統。
2018年3月29日CNVD收錄了Drupal 6, 7, 8多個子版本存在遠端代碼執行漏洞, 遠端攻擊者可利用該漏洞執行任意代碼。
安全公告連結:http://www.cnvd.org.cn/webinfo/show/4463。
由於Drupal官方對以上漏洞修復不完全, 導致補丁被繞過, 可以造成任意代碼執行。 Drupal官方針對以上漏洞發佈補丁主要是通過過濾帶有#的輸入來處理請求(GET, POST, COOKIE, REQUEST)中資料, 但是Drupal應用還會處理path?destination=URL形式的請求, 發起請求需要對destination=URL中的URL進行URL編碼, 當對URL中的#進行兩次編碼即可繞過sanitize函數過濾, 執行代碼執行。
CNVD對上述漏洞的綜合評級為“高危”。
漏洞影響範圍
受影響版本:
Drupal的7.x和8.x版本受此漏洞影響。
修復版本:
Drupal 7.59, Drupal 8.5.3, Drupal 8.4.8
CNVD秘書處對該系統在全球的分佈情況進行了統計, 全球系統規模約為30.9萬, 用戶量排名前五的分別是美國(48.5%)、德國(8.1%)、法國(4%)、英國(3.8%)和俄羅斯(3.7%), 而在我國境內分佈較少(0.88%)。
漏洞修復建議
目前, 廠商已發佈補丁和安全公告以修復該漏洞,
Drupal 7.x請升級到Drupal 7.59版本。
同時官方給出7.X版本補丁, 若用戶無法立即升級版本, 請更新補丁, 補丁地址為:
https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0
Drupal 8.5.x請升級到Drupal 8.5.3版本
同時官方給出8.X版本補丁, 若用戶無法立即升級版本, 請更新補丁, 補丁地址為:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e
Drupal 8.4.x版本請升級到8.4.8版本, 同時官方給出8.X版本補丁, 若用戶無法立即升級版本, 請更新補丁, 補丁地址為: