弱點通告:Drupal 存在多個安全性弱點,建議請管理者儘速更新!
2017/08/21
風險等級: 高度威脅
摘  要:

Drupal 存在多個安全性弱點,可能允許遠端攻擊者利用該弱點來控制受影響的系統。

目前已知會受到影響的產品為Drupal 8.x之前的版本,HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

影響系統:
  • Drupal 8.x之前的版本
  • 解決辦法:
  • 請參考Drupal 官網更新至最新版本
  • 若為Drupal 8.x,請更新至Drupal 8.3.7 (含)之後版本
  • 細節描述:

    Drupal 官方近日發佈更新以解決多個安全性弱點: (1)視圖(view) 子系統/模組沒有將存取Ajax 端點限制為僅配置為使用Ajax 的視圖。 (2)當使用REST API 時啟用RESTful Web 服務無法正確驗證的弱點,可能使攻擊者竊取網站已註冊帳戶的權限。 (3)實體存取系統可能允許不必要的存取來查看,創建,更新或刪除實體的弱點。 這僅影響不使用或不具有UUID 的實體,以及對同一實體的不同修訂版具有不同存取限制的實體。

    HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

    參考資訊:

    Drupal 8.3.7 (2017/08/16)
    Drupal's Security Advisory (2017/08/16)
    Us-cert (2017/08/16)