另一个Drupla内核漏洞修复的更新_站内公告_奇迪科技(深圳)有限公司(www.qvdv.com)
欢迎来到奇迪科技(深圳)有限公司,超值服务提供卓越产品!
公告中心

站内公告

另一个Drupla内核漏洞修复的更新

作者:qvdv来源:www.qvdv.com更新时间:2018-05-04

Drupal团队声明,最新的内核漏洞SA-CORE-2018-004(即CVE-2018-7602)与3月份出现的漏洞SA-CORE-2018-002(即CVE-2018-7600)是相关联的。黑客可以利用这些漏洞远程控制网站的服务器,从而盗取数据并修改网站的页面。

CVE-2018-7602漏洞来源于Drupalgeddon2 

这个漏洞属于远程代码执行部分(RCE)的Bug,受影响的包括Drupal 7和Drupal 8版本。Drupal团队将该漏洞的危险系数评级为20,最高25。意味着攻击者可以完全控制受攻击的网站。

这个漏洞主要是关于Drupal如何处理URL中的“#”字符的方式,系统不能自动检测剔除参数当中的“#”字符。

用户可以将Drupal升级到最新的Drupal 7和Drupal 8版本的内核进行修复。最新的代码您可以在Drupal的官网进行获取。使用Drupal 7的用户,需要升级到最新的Drupal 7.59。使用Drupal 8.5版本的用户,需要升级到最新的Drupal 8.5.3。而还在使用Drupal 8.4的,可以升级到8.4.8版本。由于官网不再对8.4版本进行维护,后续将不会对8.4版本进行安全方面的升级更新。


本文版权所有,转载须注明:来源 http://www.qvdv.com/qvdv-notice-851.html