欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

漏洞预警 | Drupal core安全漏洞预警

 
63.jpg
1

安全漏洞公告



2019年5月8日,Drupal官方发布了Drupal core第三方类库TYPO3/PharStreamWrapper 存在反序列化保护机制可被绕过导致远程代码执行的漏洞的公告,官方编号:SA-CORE-2019-007漏洞公告链接:

https://www.drupal.org/sa-core-2019-007


根据公告,Drupal core 7.x、8.x版本的依赖库组件Phar Stream Wrapper针对反序列化保护的拦截器可能被绕过,恶意攻击者通过构造含有恶意代码的Phar文件实现代码执行效果,从而影响到业务系统的安全性,漏洞CVE编号:CVE-2019-11831,建议尽快更新到新的无漏洞版本,第三方组件TYPO3/PharStreamWrapper相关漏洞公告链接:

https://typo3.org/security/advisory/typo3-psa-2019-007/




2

漏洞影响范围



CVE-2019-11831:第三方依赖库组件TYPO3/PharStreamWrapper反序列化保护机制可被绕过导致远程代码执行漏洞影响Drupal core7.x、8.x版本:

Drupal 7.x版本建议更新到7.67以上版本,下载地址:

https://www.drupal.org/project/drupal/releases/7.67


Drupal 8.6.x版本建议更新到8.6.16以上版本,下载地址:

https://www.drupal.org/project/drupal/releases/8.6.16


Drupal 8.7.x之前版本,建议更新到8.7.1以上版本,下载地址:

https://www.drupal.org/project/drupal/releases/8.7.1

注意:Drupal 8.6.x之前的版本已不再受安全更新支持,建议更新到8.6.x以上版本。


CVE-2019-11831:反序列化保护机制可被绕过导致远程代码执行漏洞影响TYPO3/PharStreamWrapper组件2.x和3.x版本,需要更新:

2.x版本,建议更新到2.1.1以上版本

3.x版本,建议更新到3.1.1以上版本

下载地址:

https://github.com/TYPO3/phar-stream-wrapper/releases



3

漏洞缓解措施


威胁等级


高危:目前Drupal core的第三方类库TYPO3/PharStreamWrapper组件漏洞攻击代码暂未公开,但攻击者可以根据代码补丁比较方法分析漏洞触发点,进一步开发漏洞利用代码,建议及时升级安全更新版本,或是部署必要的安全防护设备拦截基于PHP的危险代码。


威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序,从而影响到网站服务的正常提供。


安全建议


Drupal core、TYPO3/PharStreamWrapper 等组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: