【风险公告】Drupal远程代码执行缝隙
2021-01-22 00:00:00
近日�,234钱包安全应急响应中心监测到Drupal官方颁布安全更新�,修复了一个远程代码执行缝隙�,CVE-2020-36193�。
该缝隙风险官方评级为严重�,建议使用了Drupal的用户实时将升级到最新版本�,预防遭逢恶意攻击�。
缝隙描述
Drupal是使用PHP说话编写的开源内容治理框架�。
Drupal使用了PEAR Archive_Tar作为依赖库�,在处置如.tar�、.tar.gz�、.bz2或.tlz等体式的压缩包时未对符号链接进行严格校验导致目录穿越�。攻击者通过上传特制的 tar 类型文件�,利用解压过程中的目录穿越缝隙能够将web shell 解压至web目录�,从而获得 Drupal 服务器节制权限�。
风险等级
严重
影响版本
Drupal < 9.1.3
Drupal < 9.0.11
Drupal < 8.9.13
Drupal < 7.78
安全版本
Drupal 9.1.3
Drupal 9.0.11
Drupal 8.9.13
Drupal 7.78
修复建议
1. 升级到安全版本;�;�;
2. 设置Drupal不容用户上传如.tar�、.tar.gz�、.bz2�、.tlz等体式的压缩包�。;�;�;
参考链接
https://www.drupal.org/sa-core-2021-001
北京234钱包网络技术有限公司
2020/01/22