标签: Drupal

Drupal 出现第三个严重远程代码执行漏洞, Drupal 7、8 核心遭受影响

近日,Drupal 发布了新版本的软件,以修补另一个影响其 Drupal 7 和 8 核心的严重远程代码执行(RCE)漏洞(CVE-2018-7602),这是过去 30 天以来 Drupal 被发现的第三个严重漏洞。 Drupal 是一个流行的开源内容管理系统(CMS)软件,为数百万个网站提供支持。但不幸的是,自从披露了一个高度关键的远程代码执行漏洞以来,其 CMS 一直处于被攻击状态。 这个新的漏洞是在探索先前暴露的 RCE 漏洞(名为 drupalddon2 (CVE-2018-7600))时被发现的。攻击者开发利用 Drupalgeddon2 漏洞将加密货币矿工、后门程序和其他恶意软件注入网站。据悉, drupalddon2 已在 3 月 28 日被修复。 除了这两个缺陷之外,该团队上周还修补了一个中等严重的跨站脚本(XSS)漏洞。该漏洞可能导致远程攻击者发起高级攻击,例如 cookie 盗窃、键盘记录、网络钓鱼和身份盗用等。 根据该团队发布的新报告,新的远程代码执行漏洞(CVE-2018-7602)可能会允许攻击者完全接管易受攻击的网站。由于之前披露的漏洞引起了很多关注,Drupal 敦促所有网站管理员尽快安装新的安全补丁。 如果您正在运行 7.x,请升级到 Drupal 7.59。 如果您正在运行 8.5.x,请升级到 Drupal 8.5.3。 如果您正在运行不再支持的 8.4.x 版本,则需要先将网站更新到 8.4.8 版本,然后尽快安装最新的 8.5.3 版本。 还应该注意的是,只有当您的站点已经为 Drupalgeddon2 漏洞应用了补丁时,新补丁才会生效。 有关该漏洞的技术细节被命名为 Drupalgeddon3,但并未对外公布。Drupal 发言人表示虽然该新漏洞较之前的更加复杂,但目前尚未发现有关该漏洞的任何攻击行为 。 SeeBug 漏洞库: Drupal core Remote Code Execution(CVE-2018-7602) Drupal core Remote Code Execution(CVE-2018-7600) (Drupalgeddon2) 创宇盾 无需升级即可防御利用此漏洞进行的渗透攻击。 Drupal 安全公告: 《Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-004》 消息来源:securityweek,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Drupal 发布其 7 核、8 核安全版本以解决高危关键漏洞

据外媒报道,Drupal 安全团队确认由于受到一个高度关键漏洞的影响,他们将于 3 月 28 日(UTC 时间 18:00 – 19:30 之间)发布 Drupal 7.x、8.3.x、8.4.x 和 8.5.x 的安全版本。Drupal 建议用户预留时间进行核心更新,以防止遭到恶意攻击。  安全团队强烈建议如下: 1、8.3.x 上的站点应立即更新到该建议中提供的 8.3.x 版本,然后计划在下个月更新到最新的 8.5.x 安全版本。 2、8.4.x 上的站点应立即更新到该建议中提供的 8.4.x 版本,然后计划在下个月更新到最新的 8.5.x 安全版本。 3、使用正常程序发布咨询时,7.x 或 8.5.x 上的网站可以立即更新。 官方公告内容: Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。