Drupal严重缺陷 网站警告说 紧急修补这个远程代码执行错误

Drupal项目敦促网站管理员在披露影响Drupal核心CMS的高度关键的远程代码执行错误后立即安装更新。

这个漏洞被认为足够严重，Drupal的安全团队会在周三的补丁发布前一天警告管理员，以预留时间来解决这个漏洞。

Drupal是网站发布的第三大最受欢迎的CMS，约占全球十亿多网站的3%。黑客可以使用这个缺陷，跟踪为CVE-2019-6340，劫持Drupal站点并可能控制Web服务器。

根据Drupal的说法，这个错误是由于某些文件类型无法正确清理来自非表单源的数据，例如RESTful Web服务。它警告说，这种失败会导致任意PHP代码执行。

根据Drupal的建议，在完成对安全版本的更新之前，管理员可以通过禁用所有Web服务模块来缓解该错误。管理员还可以通过禁止对Web服务资源的PUT / PATCH / POST请求来缓解该错误。

受影响的Drupal核心分支包括Drupal 8.6.x和Drupal 8.5.x及更早版本。管理员应立即升级到每个分支的固定版本，即Drupal 8.6.10和Drupal 8.5.11。

仅当启用了Drupal 8核心RESTful Web服务(休息)模块并允许PATCH或POST请求时，才会影响站点。同样受影响的是启用了其他Web服务模块的站点，例如Drupal 8中的JSON：API，以及Drupal 7中的Service模块或RESTful Web Services模块。

Drupal警告说，在更新Drupal核心后，管理员需要为几个受影响的第三方Drupal项目安装安全更新。这些包括Font Awesome Icons，翻译管理工具，Paragraphs，Video，Metatag，Link，JSON：API和RESTful Web Services。

Drupal 7核心实际上并不需要更新，但Drupal警告说，需要更新Drupal 7的一些上述第三方项目。

这个漏洞是由Drupal安全团队发现的，所以很可能这个漏洞还没有在野外被利用。但鉴于错误的严重性和预发布警报，项目似乎预计该错误可能在不久的将来被利用。

最近几个月，黑客一直在利用没有安装更新的Drupal网站来解决去年春天披露的几个“Drupalgeddon 2”漏洞。这些攻击的主要目的是在受影响的Web服务器上安装加密货币的矿工。

攻击者有很多Drupal站点可以使用。研究发现，在固定版本发布三个月后，仍有超过100,000个网站运行的CMS版本容易受到Drupalgeddon 2漏洞的攻击。