全部产品
Search
文档中心

【漏洞公告】CVE-2017-6920:Drupal远程命令执行漏洞

更新时间: 2018-05-10

2017年6月21日,Drupal官方发布了编号为CVE-2017- 6920的漏洞,漏洞评级为Critical。该漏洞是由于DrupalCore的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的DrupalCore,安全风险较高。

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。

漏洞详情见下文。


漏洞编号

CVE-2017-6920

漏洞名称

Drupal远程代码执行漏洞

官方评级

高危

漏洞描述

DrupalCore的YAML解析器在处理不安全的PHP对象句柄时,可被攻击者远程利用执行代码,并进行高危行为操作。

漏洞利用条件和方式

远程利用

漏洞影响范围

DrupalCore8.x版本

漏洞检测

查看Drupal内核版本:如果是8.x,且版本号低于8.3.4,则存在该漏洞;否则,不存在该漏洞。

漏洞修复建议(或缓解措施):

  • 升级到官方发布的Drupal 8.3.4及以上版本来修复该漏洞。

  • 作为临时措施,您也可以升级Drupal文件/core/lib/Drupal/Component/Serialization/YamlPecl.php中的decode函数。

    1. public static function decode($raw) {
    2. static $init;
    3. if (!isset($init)) {
    4. // We never want to unserialize!php/object.
    5. ini_set('yaml.decode_php', 0);
    6. $init = TRUE;}
    7. // yaml_parse() will error with an emptyvalue.
    8. if (!trim($raw)) {
    9. return NULL;
    10. }
    11. }
  • 建议您不要开放管理后台,避免暴力破解或Web攻击直接入侵后台;同时建议您定期更新最新版本程序,防止出现漏洞。

情报来源

[1]. https://www.drupal.org/SA-CORE-2017-003
[2]. http://paper.seebug.org/334/