Drupal修復了Drupalgeddon2的安全漏洞
責編:mhshi |2018-03-29 15:15:42Drupal CMS團隊已經修復了一個非常關鍵的安全漏洞,該漏洞允許黑客通過訪問URL來接管網站。Drupal網站所有者應該將他們的網站更新到Drupal 7.58或Drupal 8.5.1。Drupal團隊上周早些時候宣布了該補丁,當時它表示“在今天披露后可能會在數小時或數天內開發漏洞”。該安全漏洞非常嚴重,Drupal團隊將嚴重程度分數設置為21(1至25分)。
該漏洞根據CVE-2018-7600標識符進行追蹤 – 允許攻擊者運行他希望針對CMS核心組件的任何代碼,從而有效地接管站點。攻擊者無需在目標站點上進行注冊或驗證,攻擊者必須做的就是訪問URL。
Drupal社區已經在2014年披露的Drupalgeddon安全漏洞(CVE-2014-3704,SQL注入,嚴重性25/25)之后將Drupalgeddon2昵稱為Drupalgeddon2,導致許多Drupal網站在未來幾年遭到黑客入侵。
目前沒有公開的概念驗證或漏洞利用代碼,但研究人員已經開始通過Drupal補丁進行挖掘,以確定補丁是什么。Drupal開發人員稱Drupal安全審計公司Druid的員工Jasper Mattsson發現了這個漏洞。
Drupal團隊表示,他們在發布安全警報時沒有發現任何利用這個漏洞的攻擊,但是官方Drupal團隊中的每個人都向獨立安全研究人員指出,這個漏洞會在幾小時或幾天內進入活動開發階段。修補不應該被忽略。 即使是主要的Drupal主頁今天也被拿下了半個小時來應用Drupalgeddon2補丁。
除了修復Drupal的兩個主要分支-7.x和8.x之外,Drupal團隊還宣布了2016年2月中止的古代6.x分支的補丁。預計Web防火墻產品將在接下來的幾天內接收更新以處理開發嘗試。Drupal開發者首先推薦補丁,但如果這不可能應用緩解解決方案,例如用靜態HTML頁面臨時替換Drupal站點,那么易受攻擊的Drupal站點將不會為訪問者提供易受攻擊的URL。
原文:https://www.bleepingcomputer.com/news/security/drupal-fixes-drupalgeddon2-security-flaw-that-allows-hackers-to-take-over-sites/