首页 > 清静研究 > 清静转达 > 清静通告

Drupal 两个恣意代码执行误差清静通告

宣布时间 2019-01-18

误差编号和级别

暂无严重 CVSS分值：官方未评定

影响版本

Drupal 8.6.x.

Drupal 8.5.x.

Drupal 7.x.

误差概述

1月17日，，，Drupal宣布了Drupal 7,8.5和8.6的清静更新，，，解决了两个可能被使用来执行恣意代码的“要害”清静误差。。。

远程攻击者可以使用第一个误差来执行恣意PHP代码。。。该误差保存于PHP中实现的phar流包装中，，，与处置惩罚不受信任的phar:// URI的方法有关。。。

一些Drupal代码可能在对没有经由充分验证的用户输入执行文件操作，，，从而袒露于此误差。。。

代码路径通常需要会见治理权限或非典范设置，，，从而减轻了此误差。。。

第二个误差影响了PEAR Archive_Tar，，，这是一个用PHP处置惩罚.tar文件的第三方库。。。攻击者可以使用特制的.tar文件删除系统上的恣意文件，，，甚至可能执行远程代码。。。该库宣布了一个清静更新，，，它会影响一些Drupal设置。。。有关详细信息，，，请参阅CVE-2018-1000888。。。

误差使用

现在，，，有使用CVE-2018-1000888的EXP: https://www.anquanke.com/vul/id/1450307。。。

修复建议：

Drupal已在其最新版本修补了这两个误差：

Drupal 8.6.x升级到 Drupal 8.6.6.

Drupal 8.5.x 升级到Drupal 8.5.9.

Drupal 7.x升级到Drupal 7.62.

8.5.x之前的Drupal 8版本将不再吸收清静更新，，，由于它们已经抵达使用寿命。。。

参考链接：

https://www.drupal.org/sa-core-2019-001

https://www.drupal.org/sa-core-2019-002

http://blog.pear.php.net/2018/12/20/security-vulnerability-announcement-archive_tar/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究