打印 上一主题 下一主题

【安全预警】关于 Drupal 远程代码执行漏洞通知

跳转到指定楼层
楼主
SetYun 发表于 2018-10-20 09:58:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
尊敬的腾讯云客户,您好:[size=12.6316px]  近日,腾讯云安全中心监测到 Drupal 官方发布最新安全通告,披露了多个安全漏洞,其中包含2个严重的远程代码执行漏洞,攻击者可利用该漏洞进行远程命令执行攻击,远程控制服务器及危害业务应用。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。


【漏洞详情】
   1)DefaultMailSystem::mail() 存在 SQL 注入漏洞,攻击者可以在发送 email 时向一些变量中插入危险命令,从而实现远程代码执行。
   2)攻击者拥有访问 Contextual links 的权限的情况下,利用 Contextual Links 模块没有严格验证 Contextual links 的漏洞,可能导致远程代码执行。


【风险等级】
   高风险

【漏洞风险】
   远程命令执行

【影响版本】
目前已知受影响版本如下:
   Drupal 7.x 版本中低于 7.60 的版本
   Drupal 8.6.x 版本中低于 8.6.2 的版本
   Drupal 8.5.x 版本中低于 8.5.8 的版本


【安全版本】
   Drupal 7.60 版本
   Drupal 8.6.2 版本
   Drupal 8.5.8 版本

【修复建议】
   目前官方已经发布各版本相对应的安全补丁,建议您参照上述【安全版本】升级到对应的最新版本.
   Drupal 7.60 版本下载链接:https://www.drupal.org/project/drupal/releases/7.60
   Drupal 8.6.2 版本下载链接:http://www.drupal.org/project/drupal/releases/8.6.2
   Drupal 8.5.8 版本下载链接:http://www.drupal.org/project/drupal/releases/8.5.8


【漏洞参考】
  1)官方通告:https://www.drupal.org/sa-core-2018-006


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-23 00:45 , Processed in 0.037721 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表