【安全通告】Drupal远程代码执行漏洞 (CVE-2019-6340)

作者:   广州非凡信息安全技术有限公司(总部广州) 2019/02/26 17:06:20 54次阅读 国际

【安全通告】Drupal远程代码执行漏洞(CVE-2019-6340)
292ec5735177e5e5f27494a1b745a65a.png
Drupal官方发布安全通告称修复了一个高危的远程代码执行漏洞(CVE-2019-6340)。该漏洞源于某些字段在通过非表格(non-form resources)类型输入时未能正确过滤,导致潜在的任意PHP代码执行。

漏洞条件

满足以下任意一个条件的用户受到该漏洞影响:
该站点启用了Drupal 8核心RESTful Web服务(rest)模块,并允许PATCH或POST请求,或
 该站点启用了另一个Web服务模块,如Drupal 8中的JSON:API,或Drupal 7中的Services或RESTful Web Services

受影响的版本

Drupal 8.6.x < 8.6.10
Drupal 8.5.x(或更早版本) < 8.5.11
注:早于8.5.x的版本,Drupal官方已不再提供安全服务支持

不受影响的版本

Drupal 8.6.10
Drupal 8.5.11

解决方案

Drupal官方已经发布了最新版本,请受影响的用户尽快升级进行防护。
暂时不便升级的用户,可以采取以下措施进行临时防护:
用户可以禁用所有Web服务模块,或将Web服务器配置为不允许对Web服务资源进行PUT / PATCH / POST请求。
请注意,Web服务资源可能在多个路径上可用,具体取决于服务器的配置。 对于Drupal 7,资源通常可通过路径(clean URL)和通过“q”查询参数获得。 对于Drupal 8,当使用index.php /作为前缀时,路径可能仍然有效。
详细步骤及官方建议请参考Drupal官方通告:
https://www.drupal.org/sa-core-2019-003






指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室