Apakah laporan CNNVD tentang kelemahan pelaksanaan kod jauh Drupal Core?

Pangkalan Data Kerentanan Keselamatan Maklumat Kebangsaan (CNNVD) menerima laporan tentang kelemahan pelaksanaan kod jauh Drupal Core (CNNVD-201804-1490, CVE-2018-7602). Penyerang yang berjaya mengeksploitasi kelemahan ini boleh melakukan serangan pelaksanaan kod jauh pada sistem sasaran. Berbilang versi Drupal, termasuk versi 7.x dan versi 8.x, dipengaruhi oleh kerentanan ini. Pada masa ini, sebahagian daripada kod pengesahan kerentanan untuk kerentanan ini telah didedahkan kepada umum di Internet, dan Drupal telah mengeluarkan tampalan secara rasmi untuk membetulkan kerentanan itu adalah disyorkan agar pengguna segera mengesahkan sama ada mereka terjejas oleh kerentanan itu dan mengambil langkah menampal secepat mungkin.

1. Pengenalan Kerentanan

Drupal ialah rangka kerja pengurusan kandungan sumber terbuka yang dibangunkan dalam bahasa PHP yang diselenggara oleh komuniti Drupal terdiri daripada sistem pengurusan kandungan (CMS) dan rangka kerja pembangunan PHP (Framework).

Kerentanan pelaksanaan kod jauh Drupal Core (CNNVD-201804-1490, CVE-2018-7602), yang serupa dengan kelemahan pelaksanaan kod jauh Drupal Core sebelumnya pada Mac 2018 (CNNVD-201803-1136 2018-7600), kerentanan itu berpunca daripada tampalan rasmi Drupal yang tidak lengkap terhadap kerentanan, yang membolehkan tampung itu dipintas, dengan itu mencapai pelaksanaan kod jauh.

2. Kesan

Penyerang yang berjaya mengeksploitasi kelemahan ini boleh melakukan serangan pelaksanaan kod jauh pada sistem sasaran. Dalam masa terdekat, terdapat kemungkinan besar bahawa sebahagian daripada kod pengesahan kelemahan ini yang diterbitkan di Internet akan dieksploitasi. Versi yang terjejas oleh kerentanan adalah seperti berikut:

Drupal versi 7.x, Drupal versi 8.x.

3. Cadangan pembaikan

Pada masa ini, Drupal secara rasmi telah mengeluarkan tampalan untuk membetulkan kerentanan Pengguna diminta menyemak versi produk tepat pada masanya untuk terjejas oleh kelemahan, sila tekan Langkah-langkah berikut diambil untuk perlindungan.

1. Naik Taraf versi Drupal:

Drupal 7.x sila naik taraf kepada versi Drupal 7.59.

Versi Drupal 8.4.x sila naik taraf kepada Drupal versi 8.4.8

Drupal 8.5.x sila naik taraf kepada Drupal versi 8.5.3.

2. Jika pengguna tidak dapat menaik taraf versi serta-merta, sila kemas kini alamat tampalan ialah:

版本	补丁地址
7.X版本	https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa38f265ea28444c540832509a48861587d0
Drupal 8. x	https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d1169da29456ba3db59abae4b7e

Atas ialah kandungan terperinci Apakah laporan CNNVD tentang kelemahan pelaksanaan kod jauh Drupal Core?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!