阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3339阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-6920:Drupal远程命令执行漏洞

级别: 论坛版主
发帖
241
云币
478
2017年6月21日,Drupal官方发布了一个编号为:CVE-2017- 6920 的漏洞,漏洞评级为Critical。该漏洞是由于DrupalCore的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的DrupalCore,安全风险较高。 R-\"^BV#Z  
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。 .Mzrj{^Y  
具体详情如下:   t\lx*_lr  
    
`e+eL*rZ~  
漏洞编号: `R o>?H  
CVE-2017-6920 $)7Af6xD  
漏洞名称: &fifOF#[ e  
Drupal远程代码执行漏洞 p;{w0uld"  
官方评级: #EO],!JM  
高危 &3Mps[u:h  
漏洞描述: cP8@'l@!  
该漏洞是由于DrupalCore的YAML解析器在处理不安全的PHP对象句柄时,通过远程代码执行,进行高危行为操作 "C9.pdP\8  
漏洞利用条件和方式: 9S)A6]  
远程利用 t Ow[  
漏洞影响范围: Td![Id  
DrupalCore8.x版本 z';h5GNd>z  
漏洞检测: b]\V~ZaXG  
登陆Drupal管理后台,查看内核版本是8.x,且版本号低于8.3.4,则存在该漏洞;否则,不存在该漏洞; A>}]=Ii/  
漏洞修复建议(或缓解措施):   8j!(*'J.  
  • 根治措施:目前官方已经发布了Drupal 8.3.4 修复了该漏洞,强烈建议用户升级
axd9b,  
  • 临时措施:升级Drupal文件“/core/lib/Drupal/Component/Serialization/YamlPecl.php”中的decode函数
iTeFy -Ct  
  1. public static function decode($raw) {
  2.     static $init;
  3.         if (!isset($init)) {
  4.           // We never want to unserialize!php/object.
  5.           ini_set('yaml.decode_php', 0);
  6.           $init = TRUE;}
  7.           // yaml_parse() will error with an emptyvalue.
  8.           if (!trim($raw)) {
  9.           return NULL;
  10.           }
  11.       .....
  12.       }
  • 建议用户不要开放管理后台,避免暴力破解或web攻击直接入侵后台,同时建议用户定期更新最新版本程序,防止出现漏洞。
C,3yu,'  
情报来源: IR*:i{  
hin6cac  
| b)N;t  
&bS!>_9  
 tD}HL_  
[ 此帖被正禾在2017-06-27 13:53重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)