Drupal高危安全漏洞风险提示:

【漏洞公告】

    近日，Drupal官方发布了关于Drupal core存在远程代码执行漏洞安全公告，漏洞对应CVE编号：CVE-2020-36193，相关链接：

    https://www.drupal.org/sa-core-2021-001

    根据公告，Drupal使用了Archive_Tar库，在处理.tar、.tar.gz、.bz2、.tlz等格式的压缩包文件时因过滤不严导致目录穿越，攻击者通过构造上传特定的压缩包文件，可利用该漏洞实现远程代码执行，造成服务器被入侵。建议使用Drupal的用户尽快更新到安全版本。

    Drupal历史安全公告列表：

    https://www.drupal.org/security

【影响范围】

    CVE-2020-36193 远程代码执行漏洞影响以下Drupal Core版本：

    Drupal 9.1分支版本，建议更新到Drupal 9.1.3以上版本

    Drupal 9.0分支版本，建议更新到Drupal 9.0.11以上版本

    Drupal 8.9分支版本，建议更新到Drupal 8.9.13以上版本

    Drupal 7分支版本，建议更新到Drupal 7.78以上版本

    注意：8.9.x之前的Drupal 8分支版本已经维护，已不提供安全更新。

【漏洞描述】

    CVE-2020-36193漏洞，根据分析，Drupal使用的composer引用了存在严重漏洞的pear/archive_tar: 1.4.11库，在处理tar文件时未对符号链接进行严格校验导致目录穿越。攻击者通过上传构造好的tar文件并利用解压过程中的目录穿越可将web shell写入网站目录，进而造成服务器被黑客控制。

【漏洞检测】

    登陆管理后台，依次点击“管理”-“日志”-“报告状态”，可查看当前Drupal的版本。

上图目标中，Drupal版本在漏洞影响范围内且未对系统安装相应补丁，则说明存在风险。

【缓解措施】

    高危：目前漏洞细节和利用代码已公开，并已验证漏洞的可利用性，建议及时测试并升级到漏洞修复的版本。

    官方修复建议：

    升级Drupal至官方安全版本

    官方安全版本下载地址：

    Drupal 9.1.3

    https://www.drupal.org/project/drupal/releases/9.1.3

    Drupal 9.0.11

    https://www.drupal.org/project/drupal/releases/9.0.11

    Drupal 8.9.13

    https://www.drupal.org/project/drupal/releases/8.9.13

    Drupal 7.78

    https://www.drupal.org/project/drupal/releases/7.78

    临时缓解措施：

    禁止用户上传.tar、.tar.gz、.bz2或.tlz文件，或者非必须使用Archive_Tar库可使用composer卸载相关组件。