Drupal v8.2.7发布,修复了多个CMS漏洞

Drupal开发团队发布了Drupal 8.2.7版本,解决了流行CMS中的一系列的漏洞。漏洞列表包括访问绕过问题,跨站点请求伪造(CSRF)漏洞和远程代码执行的问题。

drupal

其中最严重的漏洞是编号为CVE-2017-6377访问绕过漏洞,影响了CMS的编辑器模块。

“当通过配置的文本编辑器(如CKEditor)添加专用文件时,编辑器将无法正确检查被附加的文件的访问,导致访问绕过” Drupal安全公告描述到。

另一个中度严重的漏洞是编号为CVE-2017-6379的CSRF漏洞。攻击者能够利用这个漏洞通过已知的区块ID来禁用网站的某些区块。

在列表中,我们还发现了一个中度危险的CVE-2017-6381远程代码执行漏洞。 RCE漏洞CVE-2017-6381会影响第三方开发库和依赖程序的开发。

好消息是,Drupal Composer依赖项通常不会安装,并且默认执行.htaccess中的php保护。

为了提高Drupal安装的安全性,Drupal v8.2.7包括了phpunit开发依赖的安全更新。 基本上,新版本中的Drupal核心需要最安全的phpunit版本。

更新Drupal版本是很必要的,CMS是黑客的特权目标,试图利用在线可用的漏洞代码来发现已知的漏洞。过时的版本会暴露网站使其用户有网络攻击的风险。

关于Drupal

Drupal是一个开源的内容管理系统(CMS)平台,用于构造提供多种功能和服务的动态网站,这些功能包括用户管理(User Administration)、发布工作流(Publishing Workflow)、讨论、新闻聚合(News Aggregation)、元数据(Metadata)操作和用于内容共享的XML发布。它综合了强大并可自由配置的功能,能支持从个人博客 (Personal Weblog)到大型社区驱动(Community-Driven)的网站等各种不同应用的网站项目。

原文:http://securityaffairs.co/wordpress/57192/hacking/drupal-version-8-2-7.html

上一篇:锐捷网络助力江苏省高职院校技能大赛,推动SDN人才培养

下一篇:第二届中国汽车网络信息安全峰会于2月上海成功召开