Drupal远程命令执行漏洞

尊敬的用户:

创新互联建站专注为客户提供全方位的互联网综合服务,包含不限于成都网站设计、成都做网站、宝安网络推广、小程序设计、宝安网络营销、宝安企业策划、宝安品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们大的嘉奖;创新互联建站为所有大学生创业者提供宝安建站搭建服务,24小时服务热线:028-86922220,官方网址:www.cdcxhl.com

您好!Drupal官方发布了一个编号为:CVE-2017-6920的漏洞。该漏洞是由于DrupalCore的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的DrupalCore,安全风险较高。

为避免您的业务受影响,我们建议您及时开展自查,并尽快推动内部PHP相关业务排查和Drupal升级更新,详细参见如下指引说明:

【漏洞概述】

该漏洞是由于DrupalCore的YAML解析器在处理不安全的PHP对象句柄时,通过远程代码执行,进行高危行为操作;

【风险等级】

高风险

【漏洞影响】

可远程利用导致远程代码执行;

【影响版本】

DrupalCore8.x版本;

【漏洞检测】

登陆Drupal管理后台,查看内核版本是8.x,且版本号低于8.3.4,则存在该漏洞;否则,不存在该漏洞;

【修复建议】

1) 根治措施:

目前官方已经发布了Drupal 8.3.4 修复了该漏洞,强烈建议用户升级;

2) 临时措施:

升级Drupal文件“/core/lib/Drupal/Component/Serialization/YamlPecl.php”中的decode函数如下:

public static function decode($raw) {

static $init;

if (!isset($init)) {

// We never want to unserialize!php/object.

ini_set('yaml.decode_php', 0);

$init = TRUE;}

// yaml_parse() will error with an emptyvalue.

if (!trim($raw)) {

return NULL;

}

......

}

3) 建议用户不要开放管理后台,避免暴力破解或web攻击直接入侵后台,同时建议用户定期更新最新版本程序,防止出现漏洞。

【相关参考】

1)https://www.drupal.org/SA-CORE-2017-003

2)http://paper.seebug.org/334/


网站标题:Drupal远程命令执行漏洞
URL链接:http://scyanting.com/article/dgcej.html