开发者社区> 问答> 正文

站长们注意啦!开源CMS Drupal 8发布更新修复多处高危漏洞补丁,提示您升级

据外媒报道, Drupal 研究人员于 8 月 16 日发布安全报告,宣称已修复 Drupal 8 多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8 多个系统组件,包括实体访问系统、REST API 与部分视图组件。

CVE-2017-6925
研究人员发现 Drupal 8.3.7 中存在一处高危漏洞(CVE-2017-6925),影响实体访问系统,允许攻击者查看、创建、删除或更新实体。不过,该漏洞仅影响不具备 UUID 实体,以及对同一实体不同版本有多种访问限制的实体系统。


○ CVE-2017-6924
在 Drupal 8 中存在另一绕过访问权限的关键漏洞(CVE-2017-6924),即当无访问权限的任何用户驻留在 REST API 时,允许通过 REST 发布评论。目前,此漏洞已被评估为高危漏洞,因为它影响具有 RESTful Web 服务模块与启用注释实体 REST 资源的站点。

○ CVE-2017-6923
在 Drupal 8 中还存在另一关键漏洞(CVE-2017-6923)影响视图组件。当用户创建视图时,可以选择使用 Ajax 通过过滤器参数更新数据。不过,视图子模块仅对配置为 Ajax 的视图进行访问。如果用户对视图具有访问限制,那么可以减轻系统损失,即使用户正使用另一模块显示。


目前,Drupal 官方安全研究人员建议用户尽快全盘检测系统并将 Drupal 升级至最新版本。
点击可查看Drupal官方公告详情
受影响版本:
Drupal core 8.x 版本和 8.3.7之前的版本
安全版本:
Drupal 7 core不受影响
安全方案:
阿里云安全团队建议使用了Drupal 8的用户关注并及时更新到官方最新版8.3.7
情报来源:






展开
收起
正禾 2017-08-20 19:22:29 10472 0
2 条回答
写回答
取消 提交回答
  • 保联网络公司运维人员,不写多了
    Re站长们注意啦!开源CMS Drupal 8发布更新修复多处高危漏洞补丁,提示您
    感谢
    2017-08-22 13:42:51
    赞同 展开评论 打赏
  • 阿里云论坛版主,QQ 1978638808
    Re:站长们注意啦!开源CMS Drupal 8发布更新修复多处高危漏洞补丁,提示您 ..
    感谢提醒。
    2017-08-21 08:45:18
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
代码未写,漏洞已出 立即下载
4.29【阿里云5大安全产品全面升级在线发布-会后分享文档】 立即下载
代码未写,漏洞已出——谈谈设计不当导致的安全问题 立即下载

相关实验场景

更多