描述:
Drupal 发布了安全公告以应对发现于 Drupal Core 及 PEAR Archive_tar 程式库中的多个漏洞,通过认证的攻击者可从受影响系统的本机PHP档案或PHAR存档中执行任意程式码。
受影响的系统:
Drupal 8在8.5.x之前的版本亦存在漏洞,唯Drupal已停止向这些版本提供支援,并不会提供安全更新。用户应把Drupal升级至支援的版本或安排转致其他支援的技术。
影响:
成功攻击这些漏洞可导致在受影响的系统上远端执行程式码。
建议:
產品供應商發布了修補程式以應對以上問題。
- Drupal 8.6.6
http://www.drupal.org/project/drupal/releases/8.6.6
- Drupal 8.5.9
https://www.drupal.org/project/drupal/releases/8.5.9
- Drupal 7.62
https://www.drupal.org/project/drupal/releases/7.62
进一步信息:
https://www.drupal.org/sa-core-2019-001
https://www.drupal.org/sa-core-2019-002
https://www.hkcert.org/my_url/zh/alert/19011701
https://www.us-cert.gov/ncas/current-activity/2019/01/16/Drupal-Releases-Security-Updates
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000888
