【漏洞详情】

近日，Drupal官方发布安全通告，包括文件覆盖、拒绝服务、安全机制绕过以及未授权访问漏洞，攻击者可利用漏洞篡改网站数据或导致业务不可用，建议受影响的用户升级最新版本的 Drupal 7.69、8.7.11 或 8.8.1，以避免安全风险，详细漏洞信息如下：

1、SA-CORE-2019-012（高危）：该漏洞存在于受影响的库以符号链接解压缩存档的方式，利用该链接，攻击者可通过上传恶意制作的tar文件来覆盖目标服务器上的敏感文件。

2、SA-CORE-2019-011（中危）： Drupal 的默认媒体库模块没有正确地限制对某些配置中的媒体项的访问时，就会存在此漏洞，它可以允许低权限的用户获得未经授权的访问敏感信息。

3、SA-CORE-2019-010（中危）： Drupal 8 中的文件上传功能未从文件名中去掉前导和尾随点('.')，攻击者可使用该文件上传功能覆盖任意系统文件，比如.htaccess，从而绕过安全保护。

4、SA-CORE-2019-009（中危）： Drupal 8 核心使用的install.php文件包含一个漏洞，未经身份验证的远程攻击者可以利用这个漏洞破坏目标网站的缓存数据，从而影响其可用性。。

【风险评级】

高危

【影响范围】

Drupal Core 8.8.x-dev

Drupal Core 8.7.x-dev

Drupal Core 7.x-dev

【修复建议】

官方均已发布新版本修复漏洞，建议受影响用户综合评估漏洞风险和业务影响，可通过升级版本升级避免安全风险

Drupal 7.x：升级到 Drupal 7.69 版本

Drupal 8.7.x：升级到 Drupal 8.7.11 版本

Drupal 8.8.x：升级到 Drupal 8.8.1 版本

【参考链接】

https://www.drupal.org/sa-core-2019-012

https://www.drupal.org/sa-core-2019-011

https://www.drupal.org/sa-core-2019-010

https://www.drupal.org/sa-core-2019-009

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年12月24日