首页 > 安全钻研 > 安全传递 > 安全公告

颁布功夫 2019-01-18

暂无严沉 CVSS分值：官方未评定

Drupal 8.6.x.

Drupal 8.5.x.

Drupal 7.x.

1月17日，Drupal颁布了Drupal 7,8.5和8.6的安全更新，解决了两个可能被利用来执行肆意代码的“关键”安全缝隙。

远程攻击者能够利用第一个缝隙来执行肆意PHP代码。该缝隙存在于PHP中实现的phar流包装中，与处置不受信赖的phar:// URI的方式有关。

一些Drupal代码可能在对没有经过充分验证的用户输入执行文件操作，从而露出于此缝隙。

代码蹊径通常必要接见治理权限或非典型配置，从而减轻了此缝隙。

第二个缝隙影响了PEAR Archive_Tar，这是一个用PHP处置.tar文件的第三方库。攻击者能够使用特造的.tar文件删除系统上的肆意文件，甚至可能执行远程代码。该库颁布了一个安全更新，它会影响一些Drupal配置。有关具体信息，请参阅CVE-2018-1000888。

目前，有利用CVE-2018-1000888的EXP: https://www.anquanke.com/vul/id/1450307。

Drupal已在其最新版本建补了这两个缝隙：

Drupal 8.6.x升级到 Drupal 8.6.6.

Drupal 8.5.x 升级到Drupal 8.5.9.

Drupal 7.x升级到Drupal 7.62.

8.5.x之前的Drupal 8版本将不再接管安全更新，由于它们已经达到使用寿命。

https://www.drupal.org/sa-core-2019-001

https://www.drupal.org/sa-core-2019-002

http://blog.pear.php.net/2018/12/20/security-vulnerability-announcement-archive_tar/

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明