近日,Drupal 发布了新版本的软件,以修补另一个影响其 Drupal 7 和 8 核心的严重远程代码执行(RCE)漏洞(CVE-2018-7602),这是过去 30 天以来 Drupal 被发现的第三个严重漏洞。
Drupal 是一个流行的开源内容管理系统(CMS)软件,为数百万个网站提供支持。但不幸的是,自从披露了一个高度关键的远程代码执行漏洞以来,其 CMS 一直处于被攻击状态。
这个新的漏洞是在探索先前暴露的 RCE 漏洞(名为 drupalddon2 (CVE-2018-7600))时被发现的。攻击者开发利用 Drupalgeddon2 漏洞将加密货币矿工、后门程序和其他恶意软件注入网站。据悉, drupalddon2 已在 3 月 28 日被修复。
除了这两个缺陷之外,该团队上周还修补了一个中等严重的跨站脚本(XSS)漏洞。该漏洞可能导致远程攻击者发起高级攻击,例如 cookie 盗窃、键盘记录、网络钓鱼和身份盗用等。
根据该团队发布的新报告,新的远程代码执行漏洞(CVE-2018-7602)可能会允许攻击者完全接管易受攻击的网站。由于之前披露的漏洞引起了很多关注,Drupal 敦促所有网站管理员尽快安装新的安全补丁。
如果您正在运行 7.x,请升级到 Drupal 7.59。
如果您正在运行 8.5.x,请升级到 Drupal 8.5.3。
如果您正在运行不再支持的 8.4.x 版本,则需要先将网站更新到 8.4.8 版本,然后尽快安装最新的 8.5.3 版本。
还应该注意的是,只有当您的站点已经为 Drupalgeddon2 漏洞应用了补丁时,新补丁才会生效。
有关该漏洞的技术细节被命名为 Drupalgeddon3,但并未对外公布。Drupal 发言人表示虽然该新漏洞较之前的更加复杂,但目前尚未发现有关该漏洞的任何攻击行为 。
SeeBug 漏洞库:
Drupal core Remote Code Execution(CVE-2018-7602)
Drupal core Remote Code Execution(CVE-2018-7600) (Drupalgeddon2)
创宇盾 无需升级即可防御利用此漏洞进行的渗透攻击。
Drupal 安全公告:
《Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-004》
消息来源:securityweek,编译:榆榆,审核:FOX;
本文由 HackerNews.cc 编译整理,封面来源于网络;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册