Drupal核心远程代码执行

关注圣博润了解更多！

war

W

ning

·漏·洞·预·警·

作为一家专业的网络安全服务供应商，圣博润特别注重对最新安全漏洞的发现和追踪，以“及时性、准确性、层次性”为宗旨，为用户提供漏洞预警、通告及响应服务。

Drupal简介

Drupal诞生于2000年，是一个基于PHP语言编写的开发型CMF（内容管理框架），即：CMS+ framework。其中 framework是指Drupal内核中的功能强大的PHP类库和PHP函数库，以及在此基础上抽象的Drupal API，在业界广泛使用。

近日，Drupal官方发布新补丁和安全公告，Drupal 6,7,8多个子版本存在远程代码执行漏洞(CVE-2018-7600)。

1

漏洞描述

2

修复方案

虽然漏洞细节暂未公开，仍然建议使用Drupal开源内容管理系统的用户进行更新。

推荐更新

主要支持版本推荐更新到Drupal相应的最新子版本

7.x版本，更新到 7.58

https://www.drupal.org/project/drupal/releases/7.58

8.5.x版本，更新到 8.5.1

https://www.drupal.org/project/drupal/releases/8.5.1

8.4.x 版本，更新到 8.4.6

https://www.drupal.org/project/drupal/releases/8.4.6

8.3.x 版本，更细到 8.3.9

https://www.drupal.org/project/drupal/releases/8.3.9

使用patch更新

如果不能立即更新，请使用对应patch

8.5.x,8.4.x,8.3.x patch地址:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

7.x patch地址:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

其他不支持版本

Drupal 8.0/8.1/8.2版本已彻底不再维护，如果你在使用这些版本的Drupal，请尽快更新到8.3.9或8.4.6版本

Drupal 6也受到漏洞影响，此版本由Drupal 6 Long Term Support维护。

参考https://www.drupal.org/project/d6lts

3

参考链接

https://www.drupal.org/sa-core-2018-002

https://www.anquanke.com/post/id/103102

检索最新漏洞信息

提供漏洞预警、通告及响应服务

圣博润

网络安全产品研发 | 信息安全咨询服务 |