首页>美狮贵宾会投注站>体验娱乐场在线开户 赶紧修复!俄罗斯研究人员发布Drupal远程代码执行漏洞PoC
2020-01-08 16:25:08

体验娱乐场在线开户 赶紧修复!俄罗斯研究人员发布Drupal远程代码执行漏洞PoC

体验娱乐场在线开户 赶紧修复!俄罗斯研究人员发布Drupal远程代码执行漏洞PoC

体验娱乐场在线开户,e安全4月19日讯 开源 drupal 安全团队2018年3月28日发布安全公告称,在其内容管理系统软件 (cms) 中存在一个高危远程代码执行漏洞“drupalgeddon2”——cve-2018-7600,攻击者可利用该漏洞完全控制站点。在互联网上,至少有100万个网站正在使用 drupal cms。

本文源自e安全

drupalgeddon2 漏洞影响 drupal 6 ~8 的所有版本,任何访问该网站的访问者理论上都可以通过远程代码执行来获取服务器权限,允许未经身份验证的远程攻击者在默认 drupal 安装程序上执行恶意代码。

为了解决问题,drupal 公司随后很快就发布了 drupal cms 的更新版本,但未发布该漏洞的技术细节,以便给逾100万个网站预留足够的时间打补丁。

然而,就在 poc 利用代码公布后不久,sucuri、imperva 和 sans 互联网风暴中心的研究人员就观察到 drupalgeddon2 被利用的情况,尽管目前他们尚未收到网站被黑的报告。

本文源自e安全

建议仍在运行 drupal漏洞版本的站点管理员尽快将 cms 更新至 drupal 7.58 或 drupal 8.5.1 ,以修复漏洞,避免被利用。

7.x版本,更新到 7.58 https://www.drupal.org/project/drupal/releases/7.58

8.5.x版本,更新到 8.5.1 https://www.drupal.org/project/drupal/releases/8.5.1

8.4.x 版本,更新到 8.4.6 https://www.drupal.org/project/drupal/releases/8.4.6

8.3.x 版本,更细到 8.3.9 https://www.drupal.org/project/drupal/releases/8.3.9

如果不能立即更新,请使用对应 patch

8.5.x,8.4.x,8.3.x patch 地址:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

7.x patch地址:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

其他不支持版本

drupal 8.0/8.1/8.2 版本已彻底不再维护,如果你在使用这些版本的 drupal,请尽快更新到 8.3.9 或 8.4.6 版本

该漏洞还影响 drupal 公司自2016年2月起就不再支持的drupal 6版本,不过该公司也已发布针对该版本的补丁。

注:本文由e安全编译报道,转载请注明原文地址