弱點通告:Drupal 存在多個安全性弱點,建議請管理者儘速更新!
2017/06/23
風險等級: 高度威脅
摘  要:

Drupal 存在多個安全性弱點,可能允許遠端攻擊者利用該弱點來控制受影響的系統。

目前已知會受到影響的產品為Drupal 7.x、Drupal 8.x,HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

影響系統:
  • Drupal 7.x、Drupal 8.x
  • 解決辦法:
  • 請參考Drupal 官網更新至最新版本
  • 若為Drupal 7.x,請更新至Drupal 7.56 (含)之後版本
  • 若為Drupal 8.x,請更新至Drupal 8.3.4 (含)之後版本
  • 細節描述:

    Drupal 官方近日發佈更新以解決多個安全性弱點:(1)Drupal 7 和Drupal 8 針對匿名用戶上傳的檔案存取未作身份驗證,可能造成用戶機敏資訊洩漏。 (2)Drupal 8 的REST 檔案對某些字段無法正確驗證,可能使攻擊者竊取網站已註冊帳戶的權限。 (3)Drupal 8 的YAML 解析器針對PHP 物件部份處理不當,可能使遠端攻擊者利用該弱點執行任意程式碼,進而控制受影響的系統。

    HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

    參考資訊:

    Drupal 8.3.4 (2017/06/21)
    Drupal's Security Advisory (2017/06/21)
    Us-cert (2017/06/21)
    Drupal 7.56 (2017/06/22)