【漏洞预警】Drupal高危安全漏洞风险提示

发布者:李雪娇发布时间:2021-01-23浏览次数:10

Drupal高危安全漏洞风险提示:

 

【漏洞公告】

    近日,Drupal官方发布了关于Drupal core存在远程代码执行漏洞安全公告,漏洞对应CVE编号:CVE-2020-36193,相关链接:

    https://www.drupal.org/sa-core-2021-001

    根据公告,Drupal使用了Archive_Tar库,在处理.tar.tar.gz.bz2.tlz等格式的压缩包文件时因过滤不严导致目录穿越,攻击者通过构造上传特定的压缩包文件,可利用该漏洞实现远程代码执行,造成服务器被入侵。建议使用Drupal的用户尽快更新到安全版本。

    Drupal历史安全公告列表:

    https://www.drupal.org/security

 

【影响范围】

    CVE-2020-36193 远程代码执行漏洞影响以下Drupal Core版本:

    Drupal 9.1分支版本,建议更新到Drupal 9.1.3以上版本

    Drupal 9.0分支版本,建议更新到Drupal 9.0.11以上版本

    Drupal 8.9分支版本,建议更新到Drupal 8.9.13以上版本

    Drupal 7分支版本,建议更新到Drupal 7.78以上版本

    注意:8.9.x之前的Drupal 8分支版本已经维护,已不提供安全更新。

 

【漏洞描述】

    CVE-2020-36193漏洞,根据分析,Drupal使用的composer引用了存在严重漏洞的pear/archive_tar: 1.4.11库,在处理tar文件时未对符号链接进行严格校验导致目录穿越。攻击者通过上传构造好的tar文件并利用解压过程中的目录穿越可将web shell写入网站目录,进而造成服务器被黑客控制。

 

【漏洞检测】

    登陆管理后台,依次点击“管理”-“日志”-“报告状态”,可查看当前Drupal的版本。

上图目标中,Drupal版本在漏洞影响范围内且未对系统安装相应补丁,则说明存在风险。

 

【缓解措施】

    高危:目前漏洞细节和利用代码已公开,已验证漏洞的可利用性,建议及时测试并升级到漏洞修复的版本。

    官方修复建议

    升级Drupal至官方安全版本

    官方安全版本下载地址:

    Drupal 9.1.3

    https://www.drupal.org/project/drupal/releases/9.1.3

    Drupal 9.0.11

    https://www.drupal.org/project/drupal/releases/9.0.11

    Drupal 8.9.13

    https://www.drupal.org/project/drupal/releases/8.9.13

    Drupal 7.78

    https://www.drupal.org/project/drupal/releases/7.78

    临时缓解措施

    禁止用户上传.tar.tar.gz.bz2.tlz文件,或者非必须使用Archive_Tar库可使用composer卸载相关组件。