- 您的需求已经提交,我们将在48小时内联系您
- 全国服务热线:400-1000-221
- 免费享受企业级云安全服务
【高危安全通告】Drupal任意PHP代码执行漏洞
Drupal是使用PHP语言编写的开源内容管理框架。
11月25日Drupal官方发布安全更新,修复了Drupal 远程代码执行漏洞(CVE-2020-28949、CVE-2020-28948)。Drupal使用了PEAR Archive_Tar作为依赖库,在处理如.tar、.tar.gz、.bz2或.tlz等格式的压缩包时,由于过滤不严,可能存在PHAR反序列化漏洞,从而导致远程代码执行。
安全狗应急响应中心提醒 Drupal用户尽快采取安全。
安全通告信息
|
漏洞名称 |
Drupal 远程代码执行漏洞 |
|
漏洞影响版本 |
Drupal < 9.0.9 Drupal < 8.9.10 Drupal < 8.8.12 Drupal < 7.75 |
|
漏洞危害等级 |
高危 |
|
厂商是否已发布漏洞补丁 |
是 |
|
版本更新地址 |
https://www.drupal.org/project/drupal/releases/9.0.9 https://www.drupal.org/project/drupal/releases/8.9.10 https://www.drupal.org/project/drupal/releases/8.8.12 https://www.drupal.org/project/drupal/releases/7.75 |
|
安全狗总预警期数 |
141 |
|
安全狗发布预警日期 |
2020年11月26日 |
|
安全狗更新预警日期 |
2020年11月27日 |
|
发布者 |
安全狗海青实验室 |
处置措施
安全建议
1、可下载如下安全版本
Drupal 9.0.9
Drupal 8.9.10
Drupal 8.8.12
Drupal 7.75
2、修复建议
1)官方已发布安全版本,请检查您的Drupal是否在受影响版本范围。如受影响,请选择合理时间进行升级操作,升级到安全版本,避免影响业务。
下载链接:
https://www.drupal.org/project/drupal/releases/9.0.9
https://www.drupal.org/project/drupal/releases/8.9.10
https://www.drupal.org/project/drupal/releases/8.8.12
https://www.drupal.org/project/drupal/releases/7.75
【备注】:建议您在升级前做好数据备份工作,避免出现意外
2)临时缓解方案:可以通过禁止不受信任的用户上传.tar,.tar.gz,.bz2或.tlz文件,缓解此问题。