此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

预警信息
当前位置: 首页 预警信息
名称:  关于Drupal core远程代码执行漏洞的安全公告
索引:  K08260953/2018-03407 发布机构:  吉林省通信管理局办公室
生成日期:  2018-4-23 0:00:00 文号:  
信息分类:   关键词:  
内容概述:  关于Drupal core远程代码执行漏洞的安全公告
关于Drupal core远程代码执行漏洞的安全公告
发布时间:2018-4-23 0:00:00  

  安全公告编号:CNTA-2018-0012
  2018年3月29日,国家信息安全漏洞共享平台(CNVD)收录了Drupal core远程代码执行漏洞(CNVD-2018-06660,对应CVE-2018-7600)。综合利用上述漏洞,攻击者可实现远程代码执行攻击。目前,漏洞细节尚未公开。
  一、漏洞情况分析
  Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统,用PHP语言写成。在业界Drupal常被视为内容管理框架,而非一般意义上的内容管理系统。
  Drupal 6,7,8多个子版本存在远程代码执行漏洞,远程攻击者可利用该漏洞执行任意代码,从而影响到业务系统的安全性。
  CNVD对上述漏洞的综合评级为“高危”。
  二、漏洞影响范围
  Drupal的6.x,7.x和8.x版本受此漏洞影响。
  CNVD秘书处对该系统在全球的分布情况进行了统计,全球系统规模约为30.9万,用户量排名前五的分别是美国(48.5%)、德国(8.1%)、法国(4%)、英国(3.8%)和俄罗斯(3.7%),而在我国境内的分布较少(0.88%)。
  三、漏洞修复建议
  目前,厂商已发布补丁和安全公告以修复该漏洞,具体修复建议如下:
  1)推荐更新
  主要支持版本推荐更新到Drupal相应的最新子版本。
  7.x版本更新到7.58
  更新地址:
https://www.drupal.org/project/drupal/releases/7.58
  8.5.x版本更新到8.5.1
  更新地址:
https://www.drupal.org/project/drupal/releases/8.5.1
  8.4.x版本更新到8.4.6
  更新地址:
https://www.drupal.org/project/drupal/releases/8.4.6
  8.3.x版本更新到8.3.9
  更新地址:
https://www.drupal.org/project/drupal/releases/8.3.9
  2)使用patch更新
  如果不能立即更新,请使用对应patch。
  8.5.x,8.4.x,8.3.x patch地址:
  
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
  7.x patch地址:
  
https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5
  3)其他不支持版本
  Drupal 8.0/8.1/8.2版本已彻底不再维护,如果还在使用这些版本的Drupal,请尽快更新到8.3.9或8.4.6版本。
  Drupal 6也受到漏洞影响,此版本由Drupal 6 Long Term Support维护。
  参考
https://www.drupal.org/project/d6lts
  附:参考链接:
  
https://www.drupal.org/sa-core-2018-002
  
https://groups.drupal.org/security/faq-2018-002
  
http://www.cnvd.org.cn/flaw/show/CNVD-2018-06660