另一個(gè)Drupla內核漏洞修復的更新_站內公告_奇迪科技(深圳)有限公司(m.cheanjie.com)
Drupal團隊聲明,最新的內核漏洞SA-CORE-2018-004(即CVE-2018-7602)與3月份出現的漏洞SA-CORE-2018-002(即CVE-2018-7600)是相關(guān)聯(lián)的。黑客可以利用這些漏洞遠程控制網(wǎng)站的服務(wù)器,從而盜取數據并修改網(wǎng)站的頁(yè)面。 |
CVE-2018-7602漏洞來(lái)源于Drupalgeddon2 |
這個(gè)漏洞屬于遠程代碼執行部分(RCE)的Bug,受影響的包括Drupal 7和Drupal 8版本。Drupal團隊將該漏洞的危險系數評級為20,最高25。意味著(zhù)攻擊者可以完全控制受攻擊的網(wǎng)站。 |
這個(gè)漏洞主要是關(guān)于Drupal如何處理URL中的“#”字符的方式,系統不能自動(dòng)檢測剔除參數當中的“#”字符。 |
用戶(hù)可以將Drupal升級到最新的Drupal 7和Drupal 8版本的內核進(jìn)行修復。最新的代碼您可以在Drupal的官網(wǎng)進(jìn)行獲取。使用Drupal 7的用戶(hù),需要升級到最新的Drupal 7.59。使用Drupal 8.5版本的用戶(hù),需要升級到最新的Drupal 8.5.3。而還在使用Drupal 8.4的,可以升級到8.4.8版本。由于官網(wǎng)不再對8.4版本進(jìn)行維護,后續將不會(huì )對8.4版本進(jìn)行安全方面的升級更新。 |
本文版權所有,轉載須注明:來(lái)源 http://m.cheanjie.com/qvdv-notice-851.html