Drupal修复了Drupalgeddon2的安全漏洞

Drupal CMS团队已经修复了一个非常关键的安全漏洞,该漏洞允许黑客通过访问URL来接管网站。Drupal网站所有者应该将他们的网站更新到Drupal 7.58或Drupal 8.5.1。Drupal团队上周早些时候宣布了该补丁,当时它表示“在今天披露后可能会在数小时或数天内开发漏洞”。该安全漏洞非常严重,Drupal团队将严重程度分数设置为21(1至25分)。

Drupalgeddon2

该漏洞根据CVE-2018-7600标识符进行追踪 – 允许攻击者运行他希望针对CMS核心组件的任何代码,从而有效地接管站点。攻击者无需在目标站点上进行注册或验证,攻击者必须做的就是访问URL。

Drupal社区已经在2014年披露的Drupalgeddon安全漏洞(CVE-2014-3704,SQL注入,严重性25/25)之后将Drupalgeddon2昵称为Drupalgeddon2,导致许多Drupal网站在未来几年遭到黑客入侵。


目前没有公开的概念验证或漏洞利用代码,但研究人员已经开始通过Drupal补丁进行挖掘,以确定补丁是什么。Drupal开发人员称Drupal安全审计公司Druid的员工Jasper Mattsson发现了这个漏洞。

Drupal团队表示,他们在发布安全警报时没有发现任何利用这个漏洞的攻击,但是官方Drupal团队中的每个人都向独立安全研究人员指出,这个漏洞会在几小时或几天内进入活动开发阶段。修补不应该被忽略。 即使是主要的Drupal主页今天也被拿下了半个小时来应用Drupalgeddon2补丁。

除了修复Drupal的两个主要分支-7.x和8.x之外,Drupal团队还宣布了2016年2月中止的古代6.x分支的补丁。预计Web防火墙产品将在接下来的几天内接收更新以处理开发尝试。Drupal开发者首先推荐补丁,但如果这不可能应用缓解解决方案,例如用静态HTML页面临时替换Drupal站点,那么易受攻击的Drupal站点将不会为访问者提供易受攻击的URL。

原文:https://www.bleepingcomputer.com/news/security/drupal-fixes-drupalgeddon2-security-flaw-that-allows-hackers-to-take-over-sites/

上一篇:Office文档漏洞利用工具包ThreadKit

下一篇:巴尔的摩911调度系统遭黑客攻击