开源内容管理框架Drupal曝远程代码执行漏洞

时间:2019-02-26 16:01:51来源:信息安全服务部作者:梦之想科技

2月21日,梦之想科技注意的Drupal在发布的重要安全更新中修补了一个远程代码执行漏洞,漏洞编号为CVE-2019-6340。分析表明,成功利用允许攻击者在目标主机上远程执行任意代码。

漏洞的成因

Drupal团队在披露该漏洞时表示,“某些字段类型并未正确地清洁非表单来源数据,在某种情况下可导致任意PHP代码执行。”

如果网站由Drupal 8内核驱动,且启用了RESTful Web Service (rest)模块,且处理PATCH或POST请求,或该网站启用了另外的web服务如Drupal 8中的JASON:API或Drupal 7中的Services或RESTful Web Services,则易受攻击。

漏洞的影响

如漏洞被成功利用,则可导致任意PHP代码远程执行。具体受影响的版本如下:

  • Drupal 8.6.x(Drupal 8.6.10不受影响)

  • Drupal 8.5.x或更早版本(Drupal 8.5.11不受影响)

  • Drupal 7贡献的几个模块可能受此影响



漏洞的应对措施

对于运行Drupal 8的用户,可以通过更新到版本8.6.10或8.5.11。更新Drupal核心后,请务必为贡献的项目安装任何可用的安全更新。

Drupal 7不需要核心更新,但是几个Drupal 7贡献的模块确实需要更新。

想要立即缓解此漏洞,可以禁用所有Web服务模块,或将Web服务器配置为不允许对Web服务资源的PUT/PATCH/POST请求。此处需注意,Web服务资源可能在多个路径上可用,具体取决于服务器的配置。对于Drupal 7,这些资源可通过路径(清洁的URL)和通过‘q’查询参数的多种参数获取。对于Drupal 8而言,当路径以index.php/为前缀时,路径可能仍然起作用。