Drupal CMS新安全漏洞预警

2018-07-24 16:53:35 浏览数 (1)

安全漏洞公告

2018年4月25日,Drupal官方发布了Drupal core存在远程代码执行漏洞的公告,对应CVE编号:CVE-2018-7602,漏洞公告链接:

https://www.drupal.org/sa-core-2018-004

根据公告,6.x、7.x、8.x版本的子系统存在严重安全漏洞,利用该漏洞可能实现远程代码执行攻击,从而影响到业务系统的安全性,该漏洞跟CVE-2018-7600一样已经被在野利用,建议尽快更新到新的版本。

同时,Drupal的分支版本Backdrop CMS在1.9.5之前的1.x.x版本也存在该漏洞,漏洞公告链接:

https://backdropcms.org/security/backdrop-sa-core-2018-004

另外,做为Backdrop CMS的分支版本Silkscreen CMS,在1.9.5.1之前的1.x.x版本也存在该漏洞,更新后的版本:

https://github.com/silkscreencms/silkscreen/releases/tag/silkscreen-1.9.5.1

其他分支版本同样也存在该漏洞,根据Drupal项目使用信息统计,显示全球有超过100万个网站在使用该产品,占到了已知CMS网站的大约9%,影响非常大。

漏洞问答

Q:该漏洞利用难度如何?

A:不难,只要攻击者能访问网站页面即可。

Q:利用该漏洞是否需要已知账号登陆的前提条件?

A:不需要,只要能访问网站页面即可。

Q:该漏洞利用成功是否可以获取系统文件或权限?

A:可以,取决于具体的攻击代码构造。

Q:针对该漏洞目前是否有攻击代码公开?

A:3月公告的CVE-2018-7600漏洞利用Drupalgeddon 2已经形成僵尸网络,此次漏洞的利用代码也已经被公开:

https://github.com/pimps/CVE-2018-7600/blob/master/drupa7-CVE-2018-7602.py

漏洞影响范围

CVE-2018-7602:远程命令执行漏洞影响Drupal及其各分支版本,包括Drupal CMS、Backdrop CMS、SilkscreenCMS等版本。

Drupal 6.x、7.x、8.x版本受影响:

Drupal 7.x版本建议更新到7.59以上版本,下载地址:

https://www.drupal.org/project/drupal/releases/7.59

Drupal 8.5.x版本建议更新到8.5.3以上版本,下载地址:

https://www.drupal.org/project/drupal/releases/8.5.3

Drupal 8.3.x版本建议更新到8.3.9以上版本,下载地址,仅修复CVE-2018-7600的漏洞,此次并未发布:

https://www.drupal.org/project/drupal/releases/8.3.9

Drupal 8.4.x版本建议更新到8.4.8以上版本,下载地址:

https://www.drupal.org/project/drupal/releases/8.4.8

注意:Drupal 8.3.x和8.4.x本身已不再受支持,但官方考虑到此漏洞的严重性,才提供了8.4.x版本的补丁,8.3.x版本没有提供,建议更新到8.5.x版本。

Drupal 6由于维护生命周期已经结束,官方已经不再提供安全更新补丁,参考链接:

https://www.drupal.org/project/d6lts

关于其他版本和疑问可以参考官方针对SA-CORE-2018-002的FAQ描述,同样适用于此次SA-CORE-2018-004:

https://groups.drupal.org/security/faq-2018-002

Backdrop 1.x版本受影响:

Backdrop 1.9.x版本建议更新到1.9.5以上版本,下载地址:

https://github.com/backdrop/backdrop/releases/tag/1.9.5

Backdrop 1.8.x版本建议更新到1.8.4以上版本,下载地址:

https://github.com/backdrop/backdrop/releases/tag/1.8.4

Backdrop 1.7.x版本建议更新到1.7.4以上版本,下载地址,仅修复CVE-2018-7600的漏洞,此次并未发布:

https://github.com/backdrop/backdrop/releases/tag/1.7.4

注意:Backdrop 1.8.x和Backdrop 1.7.x本身已不再受支持,但官方考虑到此漏洞的严重性,才提供了1.8.x的补丁,1.7.x版本没有提供,建议更新到1.9.x版本。

Silkscreen 1.x版本受影响:

Silkscreen 1.9.x版本建议更新到1.9.5.1以上版本,Silkscreen 1.8.x版本建议更新到1.8.4.1版本,Silkscreen 1.7.x版本建议更新到1.7.4以上版本(仅修复CVE-2018-7600的漏洞,此次并未发布),下载地址:

https://github.com/silkscreencms/silkscreen/releases

漏洞缓解措施

威胁等级

高危:目前漏洞细节和测试代码已经公开,强烈建议及时升级安全更新补丁,或是部署WAF等安全防护设备监控漏洞利用情况。

威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序(3月公告的CVE-2018-7600漏洞的利用Drupalgeddon 2已经形成僵尸网络),从而影响到网站服务的正常提供

安全建议

Drupal组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。

安全漏洞 https 安全 github

0 人点赞