懒人听书,完美世界txt下载,梦入神机

【漏洞預(yù)警】Drupal 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警（CVE-2019-6340）

0x00 漏洞背景

北京時間2月21日，業(yè)內(nèi)安全公司監(jiān)控到 Drupal 發(fā)布的重要安全更新，其中修補(bǔ)了一枚遠(yuǎn)程代碼執(zhí)行漏洞，漏洞編號為CVE-2019-6340。經(jīng)過研判，漏洞是由于傳入 RESTful Web服務(wù)的數(shù)據(jù)，未做嚴(yán)格校驗造成的。漏洞成功利用可導(dǎo)致目標(biāo)主機(jī)上遠(yuǎn)程代碼執(zhí)行。RESTful 服務(wù)默認(rèn)不開啟，大大降低漏洞風(fēng)險。為安全起見，建議使用Drupal 的用戶及時進(jìn)行版本升級。

0x01 漏洞詳情

漏洞是由Drupal 未對 RESTful Web 的數(shù)據(jù)進(jìn)行嚴(yán)格效驗造成。如果網(wǎng)站開啟了RESTful Web服務(wù)，并且接受PATCH 、 POST請求，或站點中開啟了其他web服務(wù)模塊，將會出現(xiàn)反序列化問題，進(jìn)而造成代碼執(zhí)行。

漏洞利用需要多個前置條件，大大削弱了漏洞實際影響。

0x02 漏洞影響

漏洞影響Drupal 8.6.x、Drupal 8.5.x 及 Drupal 7中的部分組件。詳細(xì)版本信息如下：

Drupal 8.6.9 及以下版本
Drupal 8.6.10 及以下版本
影響組件
- RESTful Web Services
- JSON:API
- Link
- Metatag
- Video
- Paragraphs
- Translation Management Tool
- Font Awesome lcons

0x03 安全建議

對于該漏洞，可以禁用所有Web服務(wù)模塊，或禁止處理PUT / PATCH / POST請求進(jìn)行緩解。

因為影響核心組件，強(qiáng)烈建議廣大用戶按需進(jìn)行版本升級，更新地址：

https://www.drupal.org/project/drupal/releases/8.6.10
https://www.drupal.org/project/drupal/releases/8.6.10
https://www.drupal.org/security/contrib

0x04 時間線

2019-02-21?Drupal 發(fā)布更新公告

2019-02-21?360CERT發(fā)布預(yù)警公告

0x05 參考鏈接

官方公告

漏洞播報