CVE-2018-7600:Drupal核心遠程代碼執(zhí)行漏洞預警
責編:mhshi |2018-03-29 17:30:38Drupal是一款開源的內(nèi)容管理系統(tǒng),使用php語言,在業(yè)界廣泛使用。
2018年3月28日,Drupal官方發(fā)布新補丁和安全公告,Drupal 6,7,8多個子版本存在遠程代碼執(zhí)行漏洞(CVE-2018-7600)。
360CERT通過對補丁分析,結(jié)合Drupal官方通告判定
風險等級嚴重
影響范圍較廣
雖然漏洞細節(jié)暫未公開,仍然建議使用Drupal開源內(nèi)容管理系統(tǒng)的用戶進行更新。
漏洞影響面
- 影響版本
Drupal 6.x,7.x,8.x
- 修復版本
Drupal 7.58,Drupal 8.5.1
修復方案
- 推薦更新
主要支持版本推薦更新到Drupal相應的最新子版本
7.x版本,更新到 7.58 https://www.drupal.org/project/drupal/releases/7.58
8.5.x版本,更新到 8.5.1 https://www.drupal.org/project/drupal/releases/8.5.1
8.4.x 版本,更新到 8.4.6 https://www.drupal.org/project/drupal/releases/8.4.6
8.3.x 版本,更細到 8.3.9 https://www.drupal.org/project/drupal/releases/8.3.9
- 使用patch更新
如果不能立即更新,請使用對應patch
8.5.x,8.4.x,8.3.x patch地址:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
7.x patch地址:
https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5
- 其他不支持版本
Drupal 8.0/8.1/8.2版本已徹底不再維護,如果你在使用這些版本的Drupal,請盡快更新到8.3.9或8.4.6版本
Drupal 6也受到漏洞影響,此版本由Drupal 6 Long Term Support維護。
參考https://www.drupal.org/project/d6lts
參考鏈接
- https://www.drupal.org/sa-core-2018-002
- https://groups.drupal.org/security/faq-2018-002
原文:https://cert.360.cn/warning/detail?id=3d862f150b642421c087b0493645b745
下一篇:如何防止密碼信息被泄露?
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧