近日,互联网上公开了Drupal远程代码执行漏洞(CVE-2018-7602),影响Drupal 7.x和8.x等版本。该漏洞与3月30日通报的Drupal远程代码执行漏洞(CVE-2018-7600)相关。综合利用上述漏洞,攻击者可实现远程代码执行攻击。目前,漏洞细节尚未公开。
漏洞概述
Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统,用PHP语言写成。在业界Drupal常被视为内容管理框架,而非一般意义上的内容管理系统。
Drupal 7,8多个子版本存在远程代码执行漏洞,远程攻击者可利用该漏洞执行任意代码,从而影响到业务系统的安全性。
漏洞危害
综合利用上述漏洞,攻击者可实现远程代码执行攻击。
受影响范围
Drupal 7.x version 7.58
Drupal 8.5.x version 8.5.1
Drupal 8.3.x version 8.3.9
Drupal 8.4.x version 8.4.6
不受影响范围
Drupal 7.x version 58
Drupal 8.5.x version 5.1
Drupal 8.3.x version 3.9
Drupal 8.4.x version 4.6
修复建议
目前,厂商已发布补丁和安全公告以修复该漏洞,具体修复建议如下:
1)推荐更新
主要支持版本推荐更新到Drupal相应的最新子版本。
7.x版本更新到7.58
更新地址:https://www.drupal.org/project/drupal/releases/7.58
8.5.x版本更新到8.5.1
更新地址:https://www.drupal.org/project/drupal/releases/8.5.1
8.4.x版本更新到8.4.6
更新地址:https://www.drupal.org/project/drupal/releases/8.4.6
8.3.x版本更新到8.3.9
更新地址:https://www.drupal.org/project/drupal/releases/8.3.9
2)如果用户不方便升级,Drupal官方也提供了临时补丁来防护该漏洞,但强烈建议用户尽快进行完整升级。
参考地址:https://www.drupal.org/sa-core-2018-002