1. 首页>
  2. 腾讯云代理

【安全预警】关于Drupal Core 远程代码执行漏洞通知

腾讯云 2019年03月13日 浏览169

腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云客户,您好: 

  近日,腾讯安全云鼎实验室监测到 Drupal 官方近日披露了一个严重级别的远程代码执行漏洞(CVE-2019-6340),由于 Drupal Core 部分字段类型没有对非表格源数据进行正确处理,导致某些场景下攻击者可以利用该漏洞执行任意PHP代码。
       为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 
【漏洞详情】
  2月20日,Drupal 官方近日披露了一个严重级别的远程代码执行漏洞(官方编号:SA-CORE-2019-003),该漏洞由于 Drupal Core 部分字段类型没有对非表格源数据进行正确处理导致。
 
【风险等级】
   高风险
 
【漏洞风险】
   远程代码执行
 
【影响版本】
   目前已知受影响版本如下:
   Drupal 8 版本:启用了RESTful Web Services (rest) 模块且允许 PATCH 或 POST 请求,或站点启用了其他 Web 服务模块(如 JSON:API)
   Drupal 7 版本:启用了RESTful Web Services 或其他服务模块
 
【安全版本】
   Drupal 8.6.x 版本升级到 Drupal 8.6.10 版本
   Drupal 8.5.x 或更早期版本, 需升级到 Drupal 8.5.11 版本
   Drupal 7当前暂无 Core 更新,但使用到的贡献模块(contributed modules)需要进行更新,贡献模块连接可参考:https://www.drupal.org/security/contrib
   Drupal 8.5.x 及之前版本官方已停止安全支持,建议您使用新版本。
 
【修复建议】
  建议您检查当前 Drupal 版本,参照上述【安全版本】升级到对应的最新版本。
  Drupal 8.6.10 版本下载链接:https://www.drupal.org/project/drupal/releases/8.6.10
  Drupal 8.5.11 版本下载链接:https://www.drupal.org/project/drupal/releases/8.5.11 

  缓解方案:  禁用 Drupal 上的所有 Web 模块 或配置 Web 服务器不允许 PUT/PATCH/POST 请求访问 Web 服务资源,详细可参考:https://www.drupal.org/sa-core-2019-003
【漏洞参考】


相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808