聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
Drupal 网站一个月内连续第三次被曝存在严重漏洞。
两天前,Drupal 发布新版软件修复影响 Drupal 7 和 8 内核的严重的远程代码执行漏洞。
Drupal 是一款流行的开源内容管理系统 (CMS) 软件,驱动着数百万个站点。遗憾的是,这款 CMS 自从被曝存在一个高危严重的远程代码执行漏洞后就一直遭受攻击。
新漏洞是在探索此前披露的于3月28日修复的远程代码执行漏洞 Drupalgeddon2 (CVE-2018-7600) 时发现的,Drupal 团队不得不发布这个跟进补丁更新。
Drupal 团队发布安全公告表示,这个新发现的远程代码执行漏洞 (CVE-2018-7602) 还可导致攻击者完全控制易受攻击的网站。
由于此前披露的缺陷引发诸多关注并促使攻击者针对 Drupal 网站发动攻击,因此 Drupal 公司督促所有网站管理员尽快安装补丁。
如果运行的是 7.x,则更新至 Drupal 7.59。
如果运行的是 8.5.x,则更新至 Drupal 8.5.3。
如果运行的是不再受支持的 8.4.x,那么首先需要将站点更新至 8.4.8,然后尽快安装最新的版本 8.5.3。
值得注意的是,只有在站点已经应用了 Drupalgeddon 2 缺陷补丁的情况下,新补丁才能起作用。
Drupal 公司的一名发言人表示,目前尚未发现新漏洞遭利用的迹象。另外,这个新发现的 RCE 漏洞更难以串成利用。
安全公告并未发布这个可被命名为 Drupalgeddon3 的漏洞详情,不过它也并不意味着网站不会遭攻击因此稍后才修复。
在公布后不过数小时的时间内,攻击者已经开发出利用 Drupalgeddon2 漏洞的自动利用代码将密币矿机、后门和其它恶意软件注入到网站中。
除了这两个缺陷外,上周Drupal 团队还修复了一个中危的跨站脚本漏洞,它本可允许远程攻击者发动高阶攻击,如窃取 cookie、记录按键、钓鱼和盗取身份等。
因此,强烈建议 Drupal 网站管理员尽快更新网站。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。