【安全通报】Drupal远程代码执行漏洞(CVE-2020-36193)

花屋敷  35天前

image-20210121160643067.png

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(framework)共同构成,在GPL2.0及更新协议下发布。

近日,Drupal官方发布安全公告,公告提示Drupal第三方库存在严重漏洞,攻击者可利用该漏洞执行恶意代码,可导致获取服务器权限等风险。如果将Drupal配置为允许.tar,.tar.gz,.bz2或.tlz文件上传并执行,则可能会导致该漏洞的利用。该漏洞是由于第三方库Archive_Tar(1.4.11之前版本)中的Tar.php导致。由于符号链接检查不充分从而可导致目录穿越的写操作(与CVE-2020-28948相关类似)。目前互联网上已披露漏洞利用相关poc,建议相关用户尽快采取安全措施阻止漏洞攻击。

影响范围

  • Drupal 7系列,版本号 < 7.78
  • Drupal 8.9系列,版本号 < 8.9.13
  • Drupal 9.0系列,版本号 < 9.0.11
  • Drupal 9.1系列,版本号 < 9.1.3

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="Drupal")共有 506,862 个相关服务对外开放。美国使用数量最多,共有 172,320 个;中国大陆第二,共有 51,303 个;德国第三,共有 38,762 个;法国第四,共有 37,808 个;英国第五,共有 18,008 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20210121161440797.png

中国大陆地区北京使用数量最多,共有 2,211 个;浙江第二,共有 926 个;广东第三,共有 785 个;山东第四,共有 303 个;上海第五,共有 277 个。

image-20210121161817301.png

修复建议

  1. 官方已发布安全更新,请及时更新至官方最新版本。

    下载链接:

    https://www.drupal.org/project/drupal/releases/9.1.3

    https://www.drupal.org/project/drupal/releases/9.0.11

    https://www.drupal.org/project/drupal/releases/8.9.13

    https://www.drupal.org/project/drupal/releases/7.78

    【备注】:建议您在升级前做好数据备份工作,避免出现意外

  2. 临时缓解措施:

    禁用.tar,.tar.gz,.bz2或.tlz文件的上传,可暂时缓解该漏洞的影响。

参考

[1] https://www.drupal.org/sa-core-2021-001

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论