国产三级久久久精品麻豆三级_国产免费爽爽视频_丰满少妇愉情中文字幕18禁片_毛片TV网站无套内射TV网站

安全科普
專注于網絡安全領域研究,為用戶提供網絡安全服務、
信創應用軟件開發和系統集成等專業化服務
安全科普
首頁 > 安全科普 > 安(an)全預警漏洞 > 漏(lou)洞(dong)預警 Drupal core安(an)全漏(lou)洞(dong)預警

漏洞預警 Drupal core安全漏洞預警

發布時間:2022-06-24  /   瀏覽次數:7,070 次

2019年5月8日,Drupal官方(fang)發布了Drupal core第(di)三方(fang)類庫TYPO3/PharStreamWrapper 存(cun)在(zai)反序列化(hua)保護機制可被繞過導致遠程(cheng)代碼執行的漏洞的公告,官方(fang)編號(hao):SA-CORE-2019-007漏洞公告鏈接://www.drupal.org/sa-core-2019-007

根據公告(gao),Drupal core 7.x、8.x版本的(de)(de)依賴庫組件(jian)Phar Stream Wrapper針(zhen)對反序列化保護的(de)(de)攔(lan)截器(qi)可能被(bei)繞過,惡意(yi)攻(gong)擊者通過構造含有惡意(yi)代碼(ma)的(de)(de)Phar文件(jian)實現代碼(ma)執行效果,從而(er)影響到(dao)業務(wu)系統的(de)(de)安全性,漏(lou)洞CVE編號(hao):CVE-2019-11831,建(jian)議(yi)盡快更新(xin)到(dao)新(xin)的(de)(de)無漏(lou)洞版本,第三方組件(jian)TYPO3/PharStreamWrapper相關(guan)漏(lou)洞公告(gao)鏈接://typo3.org/security/advisory/typo3-psa-2019-007/

2
漏洞影響范圍

CVE-2019-11831:第三方依賴庫組件TYPO3/PharStreamWrapper反序列化保護機(ji)制(zhi)可被繞過導(dao)致(zhi)遠程代碼(ma)執行漏洞影(ying)響Drupal core7.x、8.x版本:

Drupal 7.x版(ban)本建議(yi)更(geng)新到7.67以上版(ban)本,下載(zai)地址://www.drupal.org/project/drupal/releases/7.67

Drupal 8.6.x版本建議更新到(dao)8.6.16以上版本,下載地址://www.drupal.org/project/drupal/releases/8.6.16

Drupal 8.7.x之前版(ban)本(ben),建(jian)議更新到8.7.1以上版(ban)本(ben),下載地址(zhi)://www.drupal.org/project/drupal/releases/8.7.1

注(zhu)意(yi):Drupal 8.6.x之前(qian)的版本(ben)已不再受安(an)全更新支持,建議(yi)更新到8.6.x以上版本(ben)。

CVE-2019-11831:反序列化(hua)保護機制(zhi)可被繞過導致遠程代碼執行漏洞影響TYPO3/PharStreamWrapper組件2.x和3.x版本,需要更新:

2.x版(ban)本,建議更新到2.1.1以上版(ban)本

3.x版本,建議更新到3.1.1以(yi)上(shang)版本

下載地(di)址://github.com/TYPO3/phar-stream-wrapper/releases

3
漏洞緩解措施

威脅等級

高危:目前(qian)Drupal core的第(di)三方類庫TYPO3/PharStreamWrapper組(zu)件漏(lou)洞攻擊代(dai)碼暫未公(gong)開,但攻擊者可(ke)以(yi)根據代(dai)碼補丁比較(jiao)方法(fa)分(fen)析漏(lou)洞觸發(fa)點(dian),進一步開發(fa)漏(lou)洞利用代(dai)碼,建議及(ji)時升級安全更(geng)新版(ban)本,或(huo)是部署必要的安全防護設備攔截基于PHP的危險代(dai)碼。

威脅推演:此漏(lou)(lou)(lou)洞(dong)(dong)(dong)為(wei)遠程(cheng)(cheng)代碼執行漏(lou)(lou)(lou)洞(dong)(dong)(dong),基于全球使用(yong)該(gai)產品(pin)用(yong)戶的(de)數量,惡意(yi)(yi)攻(gong)擊(ji)者可(ke)能會開發針(zhen)對該(gai)漏(lou)(lou)(lou)洞(dong)(dong)(dong)的(de)自(zi)動化攻(gong)擊(ji)程(cheng)(cheng)序(xu),實現(xian)漏(lou)(lou)(lou)洞(dong)(dong)(dong)利用(yong)成(cheng)功后植入(ru)后門(men)程(cheng)(cheng)序(xu),并進(jin)一(yi)步(bu)釋放礦工程(cheng)(cheng)序(xu)或是(shi)DDOS僵尸木馬等惡意(yi)(yi)程(cheng)(cheng)序(xu),從而影響到網站服務的(de)正(zheng)常提供(gong)。