报告编号: B6-2018-032901
报告来源: 360-CERT
报告作者: 360-CERT
更新日期: 2018-03-29
漏洞概述
Drupal是一款开源的内容管理系统,使用php语言,在业界广泛使用。
2018年3月28日,Drupal官方发布新补丁和安全公告,Drupal 6,7,8多个子版本存在远程代码执行漏洞(CVE-2018-7600)。
360CERT通过对补丁分析,结合Drupal官方通告判定
- 风险等级严重
- 影响范围较广
虽然漏洞细节暂未公开,仍然建议使用Drupal开源内容管理系统的用户进行更新。
漏洞影响面
影响版本
Drupal 6.x,7.x,8.x
修复版本
Drupal 7.58,Drupal 8.5.1
修复方案
推荐更新
主要支持版本推荐更新到Drupal相应的最新子版本
7.x版本,更新到 7.58 https://www.drupal.org/project/drupal/releases/7.58
8.5.x版本,更新到 8.5.1 https://www.drupal.org/project/drupal/releases/8.5.1
8.4.x 版本,更新到 8.4.6 https://www.drupal.org/project/drupal/releases/8.4.6
8.3.x 版本,更新到 8.3.9 https://www.drupal.org/project/drupal/releases/8.3.9
使用patch更新
如果不能立即更新,请使用对应patch
8.5.x,8.4.x,8.3.x patch地址:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
7.x patch地址:
https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5
其他不支持版本
Drupal 8.0/8.1/8.2版本已彻底不再维护,如果你在使用这些版本的Drupal,请尽快更新到8.3.9或8.4.6版本
Drupal 6也受到漏洞影响,此版本由Drupal 6 Long Term Support维护。
参考https://www.drupal.org/project/d6lts
时间线
2018-03-21 Drupal 官方发布公告将会在下周修复高危漏洞
2018-03-28 Drupal 官方发布补丁和安全公告
2018-03-29 360CERT发布预警通告