Drupal已经发布了紧急安全更新,以利用已知的漏洞解决一个严重漏洞,该漏洞可能允许在某些CMS版本上任意执行PHP代码。
“根据常规的安全发布窗口时间表,11月25日通常不是核心安全窗口,”Drupal表示。
“但是,此发行版是必需的,因为已知存在针对核心依赖项之一的利用,并且Drupal的某些配置容易受到攻击。”
根据官方统计,目前,在总共1,120,941个网站中,有超过944,000个网站正在使用易受攻击的Drupal版本。“这些统计数据是不完整的;只有使用更新状态模块的Drupal网站包含在数据中,” Drupal说。
拥有内容管理系统的所有网站中,有2.5%的网站使用Drupal ,使其成为Internet上第四大最受欢迎的CMS,仅次于WordPress(63.8%),Shopify(5.1%)和Joomla(3.6%)。
所有受影响版本的安全更新
根据Drupal的安全公告,该漏洞是由内容管理系统(CMS)跟踪的CVE-2020-28948 和 CVE-2020-28949所使用的PEAR Archive_Tar库中的两个错误引起的 。
如果CMS配置为允许并处理.tar,.tar.gz,.bz2或.tlz文件上传,则可以利用严重的Drupal代码执行漏洞。
发布了多个Drupal安全更新程序以修复该错误,并允许管理员快速修补其服务器,以保护其免受潜在攻击。
Drupal建议在受影响的服务器上安装以下更新:
- Drupal 9.0用户应更新到Drupal 9.0.9
- Drupal 8.9用户应更新到Drupal 8.9.10
- Drupal 8.8或更早版本的用户应更新到Drupal 8.8.12
- Drupal 7用户应更新到Drupal 7.75
Drupal的安全团队说:“ 8.8.x之前的Drupal 8版本已经停产,并且没有获得安全保障。”
还可以采取缓解措施
缓解措施也适用于无法立即在其服务器上更新Drupal安装的管理员。
为此,建议站点管理员阻止不受信任的用户上传.tar,.tar.gz,.bz2或.tlz文件,以暂时缓解此问题。
国土安全部网络安全和基础设施安全局(CISA) 今天也发布了警报,敦促管理员和用户升级到已修补的Drupal版本。
上周,Drupal修复了另一个严重的远程执行代码漏洞,该漏洞被跟踪为CVE-2020-13671 ,该漏洞是由对上传文件的文件名清理不当引起的。
该公司表示:“应特别注意以下文件扩展名,即使后面跟随一个或多个其他扩展名,也应将其视为危险:phar,PHP,pl,py,py,cgi,asp,js,HTML,htm和phtml。”
“此列表并不详尽,因此请逐案评估其他无偿扩展的安全性问题。”
*编译:Domino
*来自:bleepingcomputer