当地时间12月18号,Drupal官方发布安全通告公布其核心产品中存在的多个漏洞。其中包括一个严重漏洞和三个中危漏洞。
综述
当地时间12月18号,Drupal官方发布安全通告公布其核心产品中存在的多个漏洞。其中包括一个严重漏洞和三个中危漏洞。
- 严重的符号链接漏洞
Drupal使用的第三方库 Archive_Tar 中存在漏洞,该库被用于创建、提取和添加tar文件。在Archive_Tar解压带有符号链接文档的过程中存在问题,一旦被成功利用,攻击者便可通过上传恶意的tar文件来覆盖目标服务器上的敏感文件。
据Drupal开发人员称,已经存在针对此漏洞的概念验证代码。
- 中危访问绕过漏洞
Drupal默认媒体库模块中存在一个安全漏洞,可允许低权限用户访问敏感信息。
- 中危安全限制绕过漏洞
Drupal 8中的file_save_upload()功能不会从文件名中去除前导和结尾处的(’.’),能够上传具有任何扩展名和贡献模块的用户,可以使用它来覆盖任意系统文件,例如.htaccess,以绕过安全性保护。
- 中危拒绝服务漏洞
Drupal 8使用的install.php文件中包含一个漏洞,未经身份验证的远程攻击者可以利用该漏洞破坏网站缓存数据,最终造成拒绝服务。
官方通告参考链接:
https://www.drupal.org/sa-core-2019-012
https://www.drupal.org/sa-core-2019-011
https://www.drupal.org/sa-core-2019-010
https://www.drupal.org/sa-core-2019-009
受影响产品及修复情况
漏洞 | 受影响版本 | 修复版本 |
严重的符号链接漏洞 | Drupal 7.x < 7.69 Drupal 8.7.x< 8.7.11 Drupal 8.8.x< 8.8.1 | Drupal 7.69 Drupal 8.7.11 Drupal 8.8.1 |
中危访问绕过漏洞 中危安全限制绕过漏洞 中危拒绝服务漏洞 | Drupal 8.7.x< 8.7.11 Drupal 8.8.x< 8.8.1 | Drupal 8.7.11 Drupal 8.8.1 |
安全建议
官方已为受影响产品提供了修复漏洞的最新版本。请相关用户尽快前往官网下载更新防范风险。
另,官方为部分漏洞也提供了缓解措施:
- 中危访问绕过漏洞
可以通过取消选中/admin/config/media/media-library 上“启用高级用户界面”复选框来缓解此漏洞。(此缓解措施在8.7.x中不适用)
- 中危拒绝服务漏洞
如果不需要,可以禁止对install.php的访问。
参考链接
Drupal 7.69 下载地址:
https://www.drupal.org/project/drupal/releases/7.69
Drupal 8.7.11下载地址:
https://www.drupal.org/project/drupal/releases/8.7.11
Drupal 8.8.1下载地址:
https://www.drupal.org/project/drupal/releases/8.8.1
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。