【安全通告】Drupal远程代码执行漏洞

作者:   广州非凡信息安全技术有限公司(总部广州) 2018/12/19 09:42:29 509次阅读 国际

【安全通告】Drupal远程代码执行漏洞
d1be28890daff80774dc6b14c82df15b.png

当地时间10月22日,Drupal官方发布安全通告修复了多个安全性问题,其中包括2个严重的远程代码执行漏洞,影响Drupal 7和8的多个版本。


漏洞概述

上述漏洞概括如下:
1. DefaultMailSystem::mail() 注入 – 严重 – 远程代码执行
该漏洞源于在发送emial时,一些变量没有进行适当的处理就传给了shell执行,因此可能导致远程代码执行。
2. Contextual Links 验证 – 严重 – 远程代码执行
该漏洞源于Contextual Links模块没有严格验证所请求的contextual links,导致潜在的远程代码执行。该漏洞仅在攻击者拥有访问contextual links的权限时可以被利用。

受影响版本

Drupal 7.x version < 7.60
Drupal 8.6.x version < 8.6.2
Drupal 8.5.x (以及早于8.5.x的版本)version < 8.5.8


不受影响版本

Drupal 7.x version 7.60
Drupal 8.6.x version 8.6.2
Drupal 8.5.x(以及早于8.5.x的版本) version 8.5.8


解决方案

Drupal官方已经发布了相应的新版本修复了上述漏洞,请受影响的用户尽快更新升级,进行防护,参考以下链接:
https://www.drupal.org/sa-core-2018-006

更新链接:

Drupal 7.60
https://www.drupal.org/project/drupal/releases/7.60
Drupal 8.6.2
http://www.drupal.org/project/drupal/releases/8.6.2
Drupal 8.5.8
http://www.drupal.org/project/drupal/releases/8.5.8


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室