弱點通告:Drupal 發布新的安全更新,建議請管理者儘速評估更新,以降低受駭風險!
2018/08/08
風險等級: 高度威脅
摘  要:

Drupal 發布了一個針對 Drupal 8.x 中的弱點的安全更新。遠端攻擊者可以利用此弱點來控制受影響的系統。

目前已知會受到影響的版本為 8.5.6 之前的8.x 版本,HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。

影響系統:
  • Drupal 8.5.6 以前之 8.x 版本
  • 解決辦法:

    請參考 Drupal 官網下載更新至 Drupal 8.5.6 版本

  • Drupal 8.5.6 版本
  • 細節描述:

    Drupal 發布了一個針對 Drupal 8.x 中弱點的安全更新。遠端攻擊者可以利用此弱點來控制受影響的系統。

    攻擊者可以利用 IIS header 中的弱點,透過 X-Original-URL 或 X-Rewrite-URL 無視要求中的 URL 進而取得另一 URL,該 URL 可規避存取更高權限之快取或網路伺服器時所要求之規範。

    HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。

    參考資訊:

    US-CERT(2018/08/02)
    Drupal(2018/08/01)
    CVE-2018-14773(2018/08/01)