2019年(nian)5月8日，Drupal官方(fang)(fang)發布了(le)Drupal core第(di)三方(fang)(fang)類(lei)庫(ku)TYPO3/PharStreamWrapper 存在反序列化保護機(ji)制(zhi)可被(bei)繞過導(dao)致遠(yuan)程代碼執行(xing)的(de)漏洞的(de)公告，官方(fang)(fang)編號：SA-CORE-2019-007漏洞公告鏈接：//www.drupal.org/sa-core-2019-007

根據(ju)公(gong)告(gao)，Drupal core　7.x、8.x版(ban)本(ben)的依賴庫組(zu)件(jian)Phar Stream Wrapper針對(dui)反序列化保護的攔(lan)截器(qi)可(ke)能被繞過，惡(e)意攻擊(ji)者通(tong)過構造含有惡(e)意代碼(ma)的Phar文件(jian)實現(xian)代碼(ma)執行效(xiao)果，從而影響到業務系統的安全性(xing)，漏(lou)洞CVE編號：CVE-2019-11831，建議盡快更新到新的無漏(lou)洞版(ban)本(ben)，第三方(fang)組(zu)件(jian)TYPO3/PharStreamWrapper相關漏(lou)洞公(gong)告(gao)鏈接(jie)：//typo3.org/security/advisory/typo3-psa-2019-007/

2
漏洞影響范圍

CVE-2019-11831：第三(san)方依賴庫組件TYPO3/PharStreamWrapper反序列化保(bao)護機制可被(bei)繞(rao)過(guo)導(dao)致遠程代(dai)碼(ma)執(zhi)行漏洞影響Drupal core7.x、8.x版本(ben)：

Drupal 7.x版本建議更新到(dao)7.67以上(shang)版本，下載(zai)地址：//www.drupal.org/project/drupal/releases/7.67

Drupal 8.6.x版本(ben)建議(yi)更新到8.6.16以(yi)上版本(ben)，下載地址(zhi)：//www.drupal.org/project/drupal/releases/8.6.16

Drupal 8.7.x之前版本，建(jian)議(yi)更新到8.7.1以(yi)上版本，下載地址(zhi)：//www.drupal.org/project/drupal/releases/8.7.1

注(zhu)意(yi)：Drupal 8.6.x之前的版本已不再(zai)受(shou)安(an)全更新支(zhi)持，建議更新到(dao)8.6.x以上版本。

CVE-2019-11831：反序列(lie)化保護機制可(ke)被繞過導致遠程代碼執(zhi)行(xing)漏洞影響TYPO3/PharStreamWrapper組件(jian)2.x和3.x版(ban)本(ben)，需要更新：

2.x版本(ben)，建議更新到(dao)2.1.1以上版本(ben)

3.x版本(ben)，建議更新到3.1.1以(yi)上版本(ben)

下載地址：//github.com/TYPO3/phar-stream-wrapper/releases

3
漏洞緩解措施

威脅等級

高危：目前Drupal core的(de)第(di)三方(fang)類庫(ku)TYPO3/PharStreamWrapper組件漏洞(dong)(dong)攻擊代(dai)碼暫未公開，但攻擊者可(ke)以根據代(dai)碼補丁比較方(fang)法分(fen)析漏洞(dong)(dong)觸(chu)發(fa)點，進一步(bu)開發(fa)漏洞(dong)(dong)利(li)用代(dai)碼，建議及時升級安全更新版(ban)本，或(huo)是(shi)部署必要的(de)安全防護設備攔截基于PHP的(de)危險代(dai)碼。

威脅推演(yan)：此漏(lou)(lou)洞為遠程(cheng)代碼執行漏(lou)(lou)洞，基于全球使用該產品用戶的數(shu)量(liang)，惡(e)意攻擊者可(ke)能(neng)會(hui)開發針對該漏(lou)(lou)洞的自動化攻擊程(cheng)序，實現漏(lou)(lou)洞利用成功后植(zhi)入(ru)后門程(cheng)序，并進一(yi)步釋放礦(kuang)工(gong)程(cheng)序或是DDOS僵尸木馬等(deng)惡(e)意程(cheng)序，從(cong)而(er)影響到網站服務的正常提供(gong)。