Drupal Symfony组件漏洞安全通告
发布时间 2018-08-07漏洞编号和级别
CVE-2018-14773 高 CVSS分值:官方未评定
影响版本
Drupal < 8.5.6Symfony 2.7.0至2.7.48,2.8.0至2.8.43,3.3.0至3.3.17,3.4.0至3.4.13,4.0.0至4.0.13,4.1.0至4.1.2版本Symfony HttpFoundation组件受此安全问题的影响。
漏洞概述
Symfony HttpFoundation组件是Drupal Core中使用的第三方库,该缺陷会影响8.5.6之前的Drupal 8.x版本。Symfony是许多项目正在使用的Web应用程序框架,这意味着CVE-2018-14773漏洞可能会影响大量Web应用程序。
该缺陷是由于Symfony支持遗留和危险的HTTP标头。
远程攻击可以通过使用特制的“X-Original-URL”或“X-Rewrite-URL”HTTP标头值来触发该缺陷。
Drupal维护者也发现了一个类似的问题,影响了Drupal Core中使用的 Zend Feed 和 Diactoros 库。这些库受到“URL重写漏洞”的影响,无论如何,Drupal团队确认 Drupal Core不使用易受攻击的功能。
使用Zend Feed或Diactoros的网站的管理员需要尽快修补它们。在黑客开始利用CVE-2018-14773漏洞之前,Drupal管理员需要紧急修补他们的安装。
修复建议:
这个漏洞已在Symfony版本2.7.49,2.8.44,3.3.18,3.4.14,4.0.14和4.1.3中修复,Drupal已在其最新版本8.5.6中修补了该问题。
https://www.drupal.org/SA-CORE-2018-005
https://github.com/symfony/symfony/commit/e447e8b92148ddb3d1956b96638600ec95e08f6b
参考链接:
https://www.securityfocus.com/bid/104943/references
https://www.drupal.org/SA-CORE-2018-005
https://www.drupalcenter.de/aggregator/categories/7
https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers
京公网安备11010802024551号