Drupal core高危漏洞风险提示

2020-11-27 13:23:58 Author: sec.thief.one
觉得文章还不错?,点我收藏




1、 漏洞公告

2020年11月25日,Drupal官方发布了关于Drupal core存在任意PHP代码执行漏洞的安全公告,对应两个CVE编号:CVE-2020-28948、CVE-2020-28949,公告编号:SA-CORE-2020-013,相关链接参考:

https://www.drupal.org/sa-core-2020-013


根据公告,Drupal core使用的PEAR Archive_Tar库,在处理.tar、.tar.gz、.bz2、.tlz文件类型时存在漏洞,如果将Drupal配置为允许这些文件上传并处理它们,则可能触发漏洞,恶意攻击者成功利用该漏洞可以实现任意PHP代码执行效果。建议使用Drupal的用户尽快更新到漏洞修复的版本。


Drupal历史安全公告列表:

https://www.drupal.org/security



2、 影响范围


Drupal core 任意PHP代码执行漏洞影响和建议更新的版本如下:

Drupal 9.0分支版本,建议更新到Drupal 9.0.9以上版本

Drupal 8.9分支版本,建议更新到Drupal 8.9.10以上版本

Drupal 8.8分支版本,建议更新到Drupal 8.8.12以上版本

Drupal 7分支版本,建议更新到Drupal 7.75以上版本

注意:8.8.x之前的Drupal 8分支版本已经停止维护,不提供安全更新。


官方下载地址:

Drupal 9.0.9 下载

https: / /www.drupal.org/project/drupal/releases/9.0.9

Drupal 8.9.10 下载

https://www.drupal.org/project/drupal/releases/8.9.10

Drupal 8.8.12 下载

https://www.drupal.org/project/drupal/releases/8.8.12

Drupal 7.75 下载

https://www.drupal.org/project/drupal/releases/7.75

通过安恒SUMAP平台对暴露在互联网上的Drupal进行统计,最新查询分布情况如下,全球分布:


国内分布:



3、 漏洞描述


CVE-2020-28948、CVE-2020-28949漏洞,根据分析,Drupal core使用的PEAR Archive_Tar库,在处理.tar、.tar.gz、.bz2、.tlz等文件时存在漏洞。恶意攻击者可以精心构造带有恶意文件名(带有file://等协议)的tar文件,通过Drupal中调用第三方库Archive_Tar的上传功能(初始化状态的Drupal中存在,对应文件system.tar.inc),从而往服务器中写入恶意内容实现任意PHP代码执行效果。


在实际利用场景中,恶意攻击者可通过登录后台,找到调用该第三方库的文件上传功能,通过精心构造的tar文件来进行恶意攻击。随着业务功能逐渐扩大,建议排查在其他功能处是否调用Archive_Tar模块,对处理tar、tar.gz、bz2等压缩格式的功能处进行排查过滤。



4、 缓解措施


高危: 目前漏洞细节和利用代码暂未公开,但恶意攻击者可以通过补丁对比方式分析漏洞触发点,并进一步开发漏洞利用代码,建议及时测试并升级到漏洞修复的版本,或采取临时缓解措施加固系统。


临时解决措施:

建议排查在其他功能处是否调用Archive_Tar模块,对处理tar、tar.gz、bz2等压缩格式的功能处进行排查和加固。





觉得文章还不错?,点我收藏



如果文章侵犯到您的版权,请联系我:buaq.net[#]pm.me