Drupal遠程命令執行漏洞
尊敬的用戶:
您好(hǎo)!Drupal官方發(fā)布了一個編号爲:CVE-2017-6920的漏洞。該漏洞是由于DrupalCore的YAML解析器處理不當所導緻的一個遠程代碼執行漏洞,影響8.x的DrupalCore,安全風險較高。
爲避免您的業務受影響,我們建議您及時開(kāi)展自查,并盡快推動内部PHP相關業務排查和Drupal升級更新,詳細參見如下指引說明:
【漏洞概述】
該漏洞是由于DrupalCore的YAML解析器在處理不安全的PHP對(duì)象句柄時,通過(guò)遠程代碼執行,進(jìn)行高危行爲操作;
【風險等級】
高風險
【漏洞影響】
可遠程利用導緻遠程代碼執行;
【影響版本】
DrupalCore8.x版本;
【漏洞檢測】
登陸Drupal管理後(hòu)台,查看内核版本是8.x,且版本号低于8.3.4,則存在該漏洞;否則,不存在該漏洞;
【修複建議】
1) 根治措施:
目前官方已經(jīng)發(fā)布了Drupal 8.3.4 修複了該漏洞,強烈建議用戶升級;
2) 臨時措施:
升級Drupal文件“/core/lib/Drupal/Component/Serialization/YamlPecl.php”中的decode函數如下:
public static function decode($raw) {
static $init;
if (!isset($init)) {
// We never want to unserialize!php/object.
ini_set(‘yaml.decode_php’, 0);
$init = TRUE;}
// yaml_parse() will error with an emptyvalue.
if (!trim($raw)) {
return NULL;
}
……
}
3) 建議用戶不要開(kāi)放管理後(hòu)台,避免暴力破解或web攻擊直接入侵後(hòu)台,同時建議用戶定期更新最新版本程序,防止出現漏洞。
【相關參考】
1)https://www.drupal.org/SA-CORE-2017-003
2)http://paper.seebug.org/334/