Drupal 两个任意代码执行漏洞安全通告
发布时间 2019-01-18漏洞编号和级别
暂无 严重 CVSS分值:官方未评定
暂无 严重 CVSS分值:官方未评定
影响版本
Drupal 8.6.x.
Drupal 8.5.x.
Drupal 7.x.
漏洞概述
1月17日,Drupal发布了Drupal 7,8.5和8.6的安全更新,解决了两个可能被利用来执行任意代码的“关键”安全漏洞。
远程攻击者可以利用第一个漏洞来执行任意PHP代码。该漏洞存在于PHP中实现的phar流包装中,与处理不受信任的phar:// URI的方式有关。
一些Drupal代码可能在对没有经过充分验证的用户输入执行文件操作,从而暴露于此漏洞。
代码路径通常需要访问管理权限或非典型配置,从而减轻了此漏洞。
第二个漏洞影响了PEAR Archive_Tar,这是一个用PHP处理.tar文件的第三方库。攻击者可以使用特制的.tar文件删除系统上的任意文件,甚至可能执行远程代码。该库发布了一个安全更新,它会影响一些Drupal配置。有关详细信息,请参阅CVE-2018-1000888。
漏洞利用
目前,有利用CVE-2018-1000888的EXP: https://www.anquanke.com/vul/id/1450307。
修复建议:
Drupal已在其最新版本修补了这两个漏洞:
Drupal 8.6.x升级到 Drupal 8.6.6.
Drupal 8.5.x 升级到Drupal 8.5.9.
Drupal 7.x升级到Drupal 7.62.
8.5.x之前的Drupal 8版本将不再接收安全更新,因为它们已经达到使用寿命。
参考链接:
https://www.drupal.org/sa-core-2019-001
https://www.drupal.org/sa-core-2019-002
http://blog.pear.php.net/2018/12/20/security-vulnerability-announcement-archive_tar/
京公网安备11010802024551号