Drupal高危安全漏洞风险提示:
【漏洞公告】
近日,Drupal官方发布了关于Drupal core存在远程代码执行漏洞安全公告,漏洞对应CVE编号:CVE-2020-36193,相关链接:
https://www.drupal.org/sa-core-2021-001
根据公告,Drupal使用了Archive_Tar库,在处理.tar、.tar.gz、.bz2、.tlz等格式的压缩包文件时因过滤不严导致目录穿越,攻击者通过构造上传特定的压缩包文件,可利用该漏洞实现远程代码执行,造成服务器被入侵。建议使用Drupal的用户尽快更新到安全版本。
Drupal历史安全公告列表:
https://www.drupal.org/security
【影响范围】
CVE-2020-36193 远程代码执行漏洞影响以下Drupal Core版本:
Drupal 9.1分支版本,建议更新到Drupal 9.1.3以上版本
Drupal 9.0分支版本,建议更新到Drupal 9.0.11以上版本
Drupal 8.9分支版本,建议更新到Drupal 8.9.13以上版本
Drupal 7分支版本,建议更新到Drupal 7.78以上版本
注意:8.9.x之前的Drupal 8分支版本已经维护,已不提供安全更新。
【漏洞描述】
CVE-2020-36193漏洞,根据分析,Drupal使用的composer引用了存在严重漏洞的pear/archive_tar: 1.4.11库,在处理tar文件时未对符号链接进行严格校验导致目录穿越。攻击者通过上传构造好的tar文件并利用解压过程中的目录穿越可将web shell写入网站目录,进而造成服务器被黑客控制。
【漏洞检测】
登陆管理后台,依次点击“管理”-“日志”-“报告状态”,可查看当前Drupal的版本。
上图目标中,Drupal版本在漏洞影响范围内且未对系统安装相应补丁,则说明存在风险。
【缓解措施】
高危:目前漏洞细节和利用代码已公开,并已验证漏洞的可利用性,建议及时测试并升级到漏洞修复的版本。
官方修复建议:
升级Drupal至官方安全版本
官方安全版本下载地址:
Drupal 9.1.3
https://www.drupal.org/project/drupal/releases/9.1.3
Drupal 9.0.11
https://www.drupal.org/project/drupal/releases/9.0.11
Drupal 8.9.13
https://www.drupal.org/project/drupal/releases/8.9.13
Drupal 7.78
https://www.drupal.org/project/drupal/releases/7.78
临时缓解措施:
禁止用户上传.tar、.tar.gz、.bz2或.tlz文件,或者非必须使用Archive_Tar库可使用composer卸载相关组件。
