色欲天天婬色婬频综合视频_久久久综合狠狠综合午夜无码鲁丝_亚洲欧美一级黄片_亚洲中文字字字幕犯侵_欧美人超级乱淫片免费_国产成人免费A∨片在线观看_92午夜福利国产精品_黄色亚洲无码在线_新婚少妇交换杨雨婷_高潮无码又爽又刺激视频在线

微信公眾號
安全科普
專注于網(wǎng)絡(luò)安全領(lǐng)域研究,為用戶提供網(wǎng)絡(luò)安全服務(wù)、
信創(chuàng)應(yīng)用軟件開發(fā)和系統(tǒng)集成等專業(yè)化服務(wù)
安全科普
首頁 > 安全科普 > 安全預(yù)警漏洞 > 漏洞預(yù)警 Drupal core安全漏洞預(yù)警

漏洞預(yù)警 Drupal core安全漏洞預(yù)警

發(fā)布時間:2022-06-24  /   瀏覽次數(shù):9,964 次

2019年5月8日,Drupal官方發(fā)布了Drupal core第三方類庫TYPO3/PharStreamWrapper 存在反序列化保護機制可被繞過導(dǎo)致遠程代碼執(zhí)行的漏洞的公告,官方編號:SA-CORE-2019-007漏洞公告鏈接:https://www.drupal.org/sa-core-2019-007

根據(jù)公告,Drupal core 7.x、8.x版本的依賴庫組件Phar Stream Wrapper針對反序列化保護的攔截器可能被繞過,惡意攻擊者通過構(gòu)造含有惡意代碼的Phar文件實現(xiàn)代碼執(zhí)行效果,從而影響到業(yè)務(wù)系統(tǒng)的安全性,漏洞CVE編號:CVE-2019-11831,建議盡快更新到新的無漏洞版本,第三方組件TYPO3/PharStreamWrapper相關(guān)漏洞公告鏈接:https://typo3.org/security/advisory/typo3-psa-2019-007/

2
漏洞影響范圍

CVE-2019-11831:第三方依賴庫組件TYPO3/PharStreamWrapper反序列化保護機制可被繞過導(dǎo)致遠程代碼執(zhí)行漏洞影響Drupal core7.x、8.x版本:

Drupal 7.x版本建議更新到7.67以上版本,下載地址:https://www.drupal.org/project/drupal/releases/7.67

Drupal 8.6.x版本建議更新到8.6.16以上版本,下載地址:https://www.drupal.org/project/drupal/releases/8.6.16

Drupal 8.7.x之前版本,建議更新到8.7.1以上版本,下載地址:https://www.drupal.org/project/drupal/releases/8.7.1

注意:Drupal 8.6.x之前的版本已不再受安全更新支持,建議更新到8.6.x以上版本。

CVE-2019-11831:反序列化保護機制可被繞過導(dǎo)致遠程代碼執(zhí)行漏洞影響TYPO3/PharStreamWrapper組件2.x和3.x版本,需要更新:

2.x版本,建議更新到2.1.1以上版本

3.x版本,建議更新到3.1.1以上版本

下載地址:https://github.com/TYPO3/phar-stream-wrapper/releases

3
漏洞緩解措施

威脅等級

高危:目前Drupal core的第三方類庫TYPO3/PharStreamWrapper組件漏洞攻擊代碼暫未公開,但攻擊者可以根據(jù)代碼補丁比較方法分析漏洞觸發(fā)點,進一步開發(fā)漏洞利用代碼,建議及時升級安全更新版本,或是部署必要的安全防護設(shè)備攔截基于PHP的危險代碼。

威脅推演:此漏洞為遠程代碼執(zhí)行漏洞,基于全球使用該產(chǎn)品用戶的數(shù)量,惡意攻擊者可能會開發(fā)針對該漏洞的自動化攻擊程序,實現(xiàn)漏洞利用成功后植入后門程序,并進一步釋放礦工程序或是DDOS僵尸木馬等惡意程序,從而影響到網(wǎng)站服務(wù)的正常提供。