Drupal core高危漏洞风险提示:
【漏洞公告】
2020年11月25日,Drupal官方发布了关于Drupal core存在任意PHP代码执行漏洞的安全公告,对应两个CVE编号:CVE-2020-28948、CVE-2020-28949,公告编号:SA-CORE-2020-013,相关链接参考:
https://www.drupal.org/sa-core-2020-013
根据公告,Drupal core使用的PEAR Archive_Tar库,在处理.tar、.tar.gz、.bz2、.tlz文件类型时存在漏洞,如果将Drupal配置为允许这些文件上传并处理它们,则可能触发漏洞,恶意攻击者成功利用该漏洞可以实现任意PHP代码执行效果。建议使用Drupal的用户尽快更新到漏洞修复的版本。
Drupal历史安全公告列表:
https://www.drupal.org/security
【影响范围】
Drupal core 任意PHP代码执行漏洞影响和建议更新的版本如下:
Drupal 9.0分支版本,建议更新到Drupal 9.0.9以上版本
Drupal 8.9分支版本,建议更新到Drupal 8.9.10以上版本
Drupal 8.8分支版本,建议更新到Drupal 8.8.12以上版本
Drupal 7分支版本,建议更新到Drupal 7.75以上版本
注意:8.8.x之前的Drupal 8分支版本已经停止维护,不提供安全更新。
官方下载地址:
Drupal 9.0.9 下载
https://www.drupal.org/project/drupal/releases/9.0.9
Drupal 8.9.10 下载
https://www.drupal.org/project/drupal/releases/8.9.10
Drupal 8.8.12 下载
https://www.drupal.org/project/drupal/releases/8.8.12
Drupal 7.75 下载
https://www.drupal.org/project/drupal/releases/7.75
【漏洞描述】
CVE-2020-28948、CVE-2020-28949漏洞,根据分析,Drupal core使用的PEAR Archive_Tar库,在处理.tar、.tar.gz、.bz2、.tlz等文件时存在漏洞。恶意攻击者可以精心构造带有恶意文件名(带有file://等协议)的tar文件,通过Drupal中调用第三方库Archive_Tar的上传功能(初始化状态的Drupal中存在,对应文件system.tar.inc),从而往服务器中写入恶意内容实现任意PHP代码执行效果。
在实际利用场景中,恶意攻击者可通过登录后台,找到调用该第三方库的文件上传功能,通过精心构造的tar文件来进行恶意攻击。随着业务功能逐渐扩大,建议排查在其他功能处是否调用Archive_Tar模块,对处理tar、tar.gz、bz2等压缩格式的功能处进行排查过滤。
【缓解措施】
高危:目前漏洞细节和利用代码暂未公开,但恶意攻击者可以通过补丁对比方式分析漏洞触发点,并进一步开发漏洞利用代码,建议及时测试并升级到漏洞修复的版本,或采取临时缓解措施加固系统。
临时解决措施:
建议排查在其他功能处是否调用Archive_Tar模块,对处理tar、tar.gz、bz2等压缩格式的功能处进行排查和加固。
