Drupal警告Web管理员更新CMS站点以修补关键漏洞

如果你最近没有将基于Drupal的博客或商业网站更新到最新的可用版本，那么是时候了。

Drupal开发团队昨天发布了其广泛使用的开源内容管理软件的重要安全更新，该软件解决了其核心系统中的一个关键漏洞和三个“中度关键”漏洞。

考虑到Drupal支持的网站一直是黑客最喜欢的目标之一，强烈建议网站管理员安装最新版本的Drupal 7.69、8.7.11或8.8.1，以防止远程黑客破坏web服务器。

Drupal中的关键符号链接漏洞

唯一具有严重性的建议包括针对第三方库中多个漏洞的补丁，称为“Archive_Tar”，Drupal Core使用该库创建、列出、提取文件，并将其添加到Tar归档中。

该漏洞存在于受影响的库untar使用符号链接存档的方式中，如果攻击者利用该漏洞，可以通过上载恶意构建的tar文件来覆盖目标服务器上的敏感文件。

因此，需要注意的是，该漏洞只影响配置为处理的Drupal网站。焦油焦油广州。bz2，或。不受信任的用户上传的tlz文件。

据Drupal开发者称，针对该漏洞的概念验证攻击已经存在，考虑到Drupal攻击在黑客中的流行程度，你可能会看到黑客在野外积极利用该漏洞攻击Drupal网站。

中度严重的Drupal漏洞

除了这个严重漏洞，Drupal开发者还修补了其核心软件中的三个“中度严重”漏洞，其简要细节如下：

• 拒绝服务（DoS）：安装。Drupal 8 Core使用的php文件包含一个漏洞，未经身份验证的远程攻击者可以利用该漏洞破坏目标网站的缓存数据，从而损害其可用性。
• 安全限制旁路：Drupal 8中的文件上载功能不会从文件名中删除前导和尾随点（'.'），具有文件上载能力的攻击者可以使用该点覆盖任意系统文件，例如。HTC可以绕过安全保护。
• 未经授权的访问：当Drupal的默认媒体库模块在某些配置中没有正确限制对媒体项的访问时，就会存在此漏洞。因此，它可以允许低权限用户获得对敏感信息的未经授权访问，而这些敏感信息是他无法获取的。

根据开发者的说法，受影响的网站管理员可以通过取消选中/admin/config/media/media library上的“启用高级UI”复选框来缓解access media bypass漏洞，尽管这种缓解措施在8.7中不可用。十、

Drupal版本8.7.11和8.8.1已经修补了上述所有“中度严重”漏洞，在撰写本文时，尚未提供这些漏洞的概念证明。

由于存在关键Drupal漏洞的概念证明，强烈建议运行Drupal易受攻击版本的用户尽快将其CMS更新到最新的Drupal core版本。