关于Drupal Core 远程代码执行漏洞(CVE-2019-6340)的安全预警
一、概要
近日,Drupal官方发布了安全更新,其中披露了一个高危级别的远程代码执行漏洞(CVE-2019-6340)。漏洞是由于传入 RESTful Web服务的数据在某些字段类型中缺少适当的安全过滤造成的,漏洞成功利用可导致目标主机上远程代码执行。
请使用到Drupal的租户检查当前使用的版本,及时升级到安全版本。
利用漏洞:CVE-2019-6340
参考链接:
https://www.drupal.org/sa-core-2019-003
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急。)
三、影响范围
Drupal < 8.6.10版本
Drupal < 8.5.11版本
四、修复和缓解方法
修复方法:
Drupal 8.6.x 版本升级到 Drupal 8.6.10 版本:
https://www.drupal.org/project/drupal/releases/8.6.10
Drupal 8.5.x 或更早期版本, 需升级到 Drupal 8.5.11 版本:
https://www.drupal.org/project/drupal/releases/8.5.11
Drupal 7不需要内核更新,但是使用到Drupal 7的贡献模块(contributed modules)需进行升级,参考如下:
https://www.drupal.org/security/contrib
缓解措施:
禁用所有Web服务模块,或者禁止Web服务器接受Put/Patch/Post请求。(注意:根据服务器的配置,Web服务可以在多个路径上 访问。在Drupal 7上,资源通常可以通过路径以及“q”查询参数的结合进行查询。对于Drupal 8,若前缀为index.php/,路径依然可以正常访问)
注意:修复漏洞前请将资料备份,并进行充分测试。
- 点赞
- 收藏
- 关注作者
评论(0)