Wie lautet der Bericht von CNNVD zu Schwachstellen bei der Remotecodeausführung in Drupal Core?

Die National Information Security Vulnerability Database (CNNVD) hat Berichte über Schwachstellen bei der Remotecodeausführung in Drupal Core erhalten (CNNVD-201804-1490, CVE-2018-7602). Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Remote-Codeausführungsangriffe auf das Zielsystem durchführen. Von dieser Sicherheitslücke sind mehrere Versionen von Drupal betroffen, darunter Version 7.x und Version 8.x. Derzeit wurde ein Teil des Schwachstellenverifizierungscodes für diese Schwachstelle im Internet veröffentlicht, und Drupal hat offiziell einen Patch zur Behebung der Schwachstelle veröffentlicht. Es wird empfohlen, dass Benutzer umgehend bestätigen, ob sie von der Schwachstelle betroffen sind, und Patchmaßnahmen ergreifen schnellstmöglich.

1. Einführung in die Sicherheitslücke

Drupal ist ein kostenloses und Open-Source-Content-Management-Framework, das in der PHP-Sprache entwickelt wurde und von der Drupal-Community verwaltet wird ).

Drupal Core-Sicherheitslücke bezüglich Remotecodeausführung (CNNVD-201804-1490, CVE-2018-7602). Diese Sicherheitslücke ähnelt der vorherigen Sicherheitslücke bezüglich Drupal Core-Remotecodeausführung im März 2018 (CNNVD-201803-1136, CVE-2018-7600). ) In diesem Zusammenhang ist die Schwachstelle darauf zurückzuführen, dass Drupal die Schwachstelle offiziell nicht vollständig gepatcht hat, was es ermöglicht, den Patch zu umgehen und so eine Codeausführung aus der Ferne zu erreichen.

2. Schädliche Auswirkungen

Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann Remote-Codeausführungsangriffe auf das Zielsystem durchführen. In naher Zukunft besteht eine hohe Wahrscheinlichkeit, dass ein Teil des im Internet veröffentlichten Bestätigungscodes dieser Sicherheitslücke ausgenutzt wird. Die von der Sicherheitslücke betroffenen Versionen sind folgende:

Drupal Version 7.x, Drupal Version 8.x.

3. Reparaturvorschläge

Derzeit hat Drupal offiziell einen Patch zur Behebung der Sicherheitslücke veröffentlicht. Wenn sich herausstellt, dass sie von der Sicherheitslücke betroffen ist, gehen Sie bitte wie folgt vor Maßnahmen, um es so schnell wie möglich zu schützen.

1. Upgrade der Drupal-Version:

Drupal 7.x bitte auf Drupal-Version 7.59 aktualisieren.

Drupal 8.4.x bitte auf Drupal 8.4.8 aktualisieren

Drupal 8.5.x bitte auf Drupal 8.5.3 aktualisieren.

2. Wenn der Benutzer die Version nicht sofort aktualisieren kann, aktualisieren Sie bitte den Patch. Die Patch-Adresse lautet:

Version	Patch-Adresse
7.X-Version	https ://cgit .drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0
Drupal 8. x	https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5 . x &id=bb6d396609600d1169da29456ba3db59abae4b7e

Das obige ist der detaillierte Inhalt vonWie lautet der Bericht von CNNVD zu Schwachstellen bei der Remotecodeausführung in Drupal Core?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!