Drupal core安全漏洞预警

更多全球网络安全资讯尽在E安全官网www.easyaq.com

1.  安全漏洞公告

2019年5月8日，Drupal官方发布了Drupal core第三方类库TYPO3/PharStreamWrapper 存在反序列化保护机制可被绕过导致远程代码执行的漏洞的公告，官方编号：SA-CORE-2019-007漏洞公告链接：

https://www.drupal.org/sa-core-2019-007

根据公告，Drupal core7.x、8.x版本的依赖库组件Phar Stream Wrapper针对反序列化保护的拦截器可能被绕过，恶意攻击者通过构造含有恶意代码的Phar文件实现代码执行效果，从而影响到业务系统的安全性，漏洞CVE编号：CVE-2019-11831，建议尽快更新到新的无漏洞版本，第三方组件TYPO3/PharStreamWrapper相关漏洞公告链接：

 https://typo3.org/security/advisory/typo3-psa-2019-007/

2.  漏洞影响范围

CVE-2019-11831：第三方依赖库组件TYPO3/PharStreamWrapper反序列化保护机制可被绕过导致远程代码执行漏洞影响Drupal core7.x、8.x版本：

Drupal 7.x版本建议更新到7.67以上版本，下载地址：

https://www.drupal.org/project/drupal/releases/7.67

Drupal 8.6.x版本建议更新到8.6.16以上版本，下载地址：

https://www.drupal.org/project/drupal/releases/8.6.16

Drupal 8.7.x之前版本，建议更新到8.7.1以上版本，下载地址：

https://www.drupal.org/project/drupal/releases/8.7.1

注意：Drupal 8.6.x之前的版本已不再受安全更新支持，建议更新到8.6.x以上版本。

CVE-2019-11831：反序列化保护机制可被绕过导致远程代码执行漏洞影响TYPO3/PharStreamWrapper组件2.x和3.x版本，需要更新：

2.x版本，建议更新到2.1.1以上版本

3.x版本，建议更新到3.1.1以上版本

下载地址：

https://github.com/TYPO3/phar-stream-wrapper/releases

3.  漏洞缓解措施

3.1.  威胁等级

高危：目前Drupal core的第三方类库TYPO3/PharStreamWrapper组件漏洞攻击代码暂未公开，但攻击者可以根据代码补丁比较方法分析漏洞触发点，进一步开发漏洞利用代码，建议及时升级安全更新版本，或是部署必要的安全防护设备拦截基于PHP的危险代码。

威胁推演：此漏洞为远程代码执行漏洞，基于全球使用该产品用户的数量，恶意攻击者可能会开发针对该漏洞的自动化攻击程序，实现漏洞利用成功后植入后门程序，并进一步释放矿工程序或是DDOS僵尸木马等恶意程序，从而影响到网站服务的正常提供。

3.2.  安全建议

Drupal core、TYPO3/PharStreamWrapper 等组件历史上已经报过多个安全漏洞，建议使用该产品的企业经常关注官方安全更新公告。

本文转自 安恒应急响应中心

推荐阅读：

• 美国海军陆战队负责全球反恐网络任务

• 云上的对决：两家加密货币挖掘组织争夺Linux服务器

• 黑客组织Fxmsp攻击了3家美国反病毒公司

• 最新两起伊朗网络间谍活动被公布……

• 法国出台进攻型网络作战条令

• 著名加密货币交易所遭黑客入侵，超7000枚比特币被盗

▼点击“阅读原文” 查看更多精彩内容

喜欢记得打赏小E哦！