无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > 【風(fēng)險通告】Drupal遠(yuǎn)程代碼執(zhí)行漏洞
【風(fēng)險通告】Drupal遠(yuǎn)程代碼執(zhí)行漏洞

2021-01-22 00:00:00

近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Drupal官方發(fā)布安全更新,修復(fù)了一個遠(yuǎn)程代碼執(zhí)行漏洞,CVE-2020-36193。


該漏洞風(fēng)險官方評級為嚴(yán)重,建議使用了Drupal的用戶及時將升級到最新版本,避免遭受惡意攻擊。


漏洞描述


Drupal是使用PHP語言編寫的開源內(nèi)容管理框架。


Drupal使用了PEAR Archive_Tar作為依賴庫,在處理如.tar、.tar.gz、.bz2或.tlz等格式的壓縮包時未對符號鏈接進(jìn)行嚴(yán)格校驗(yàn)導(dǎo)致目錄穿越。攻擊者通過上傳特制的 tar 類型文件,利用解壓過程中的目錄穿越漏洞可以將web shell 解壓至web目錄,從而獲得 Drupal 服務(wù)器控制權(quán)限。


風(fēng)險等級


嚴(yán)重


影響版本


Drupal < 9.1.3

Drupal < 9.0.11

Drupal < 8.9.13

Drupal < 7.78



安全版本


Drupal 9.1.3

Drupal 9.0.11

Drupal 8.9.13

Drupal 7.78


修復(fù)建議


1. 升級到安全版本;

2. 設(shè)置Drupal禁止用戶上傳如.tar、.tar.gz、.bz2、.tlz等格式的壓縮包。;


參考鏈接


https://www.drupal.org/sa-core-2021-001




北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/01/22



南宫市| 和平县| 拉孜县| 文昌市| 江川县| 眉山市| 新绛县| 曲阜市| 文登市| 公安县| 道孚县| 航空| 海宁市| 淮南市| 台北县| 喀什市| 诸城市| 黑河市| 金山区| 桦川县| 龙门县| 巴林右旗| 中西区| 蒙阴县| 定西市| 石城县| 贡觉县| 福鼎市| 贺兰县| 溧阳市| 南宫市| 太仆寺旗| 原阳县| 卓尼县| 潞城市| 民县| 武城县| 屏东县| 枝江市| 太仆寺旗| 平顶山市|