【安全预警】Drupal CMS多个严重安全漏洞风险通告
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全中心监测到知名内容管理系统Drupal官方披露多个安全漏洞通告,包括文件覆盖、拒绝服务、安全机制绕过以及未授权访问漏洞,攻击者可利用漏洞篡改网站数据或导致业务不可用。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
Drupal 发团队近日为其广泛使用的开源内容管理软件发布了重要的安全更新,该软件解决了其核心系统中的 1 个严重漏洞和 3 个“中等严重漏洞”。
考虑到 Drupal CMS 被大量网站广泛使用,因此强烈建议网站管理员安装最新版本的 Drupal 7.69、8.7.11 或 8.8.1,以防止远程黑客破坏 Web 服务器。
【风险等级】
高风险
【漏洞风险】
SA-CORE-2019-012:任意文件上传(风险级别:严重)
风险描述:该漏洞存在于受影响的库以符号链接解压缩存档的方式,利用该链接,攻击者可通过上传恶意制作的tar文件来覆盖目标服务器上的敏感文件。
SA-CORE-2019-011:未授权访问(风险级别:中度严重)
风险描述:Drupal 的默认媒体库模块没有正确地限制对某些配置中的媒体项的访问时,就会存在此漏洞,它可以允许低权限的用户获得未经授权的访问敏感信息。
SA-CORE-2019-010:安全限制绕过(风险级别:中度严重)
风险描述:Drupal 8 中的文件上传功能未从文件名中去掉前导和尾随点('.'),攻击者可使用该文件上传功能覆盖任意系统文件,比如.htaccess,从而绕过安全保护。
SA-CORE-2019-009:拒绝服务漏洞(风险级别: 中度严重 )
风险描述:Drupal 8 核心使用的install.php文件包含一个漏洞,未经身份验证的远程攻击者可以利用这个漏洞破坏目标网站的缓存数据,从而影响其可用性。
【影响版本】
Drupal Core 8.8.x-dev
Drupal Core 8.7.x-dev
Drupal Core 7.x-dev
【修复版本】
Drupal 7.x 用户:更新到 Drupal 7.69 版本
Drupal 8.7.x 用户:更新到 Drupal 8.7.11 版本
Drupal 8.8.x 用户:更新到 Drupal 8.8.1 版本
【修复建议】
官方均已发布新版本修复漏洞,腾讯云安全团队建议您升级到官方安全版本进行解决。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
【漏洞参考】
1)官方通告(SA-CORE-2019-012):https://www.drupal.org/sa-core-2019-012
3)官方通告(SA-CORE-2019-010):https://www.drupal.org/sa-core-2019-010
4)官方通告(SA-CORE-2019-009):https://www.drupal.org/sa-core-2019-009