圖片來源: 

Drupal

全球第三大內容管理系統Drupal修補一重大安全漏洞,該漏洞允許遠端駭客執行任意程式並取得Drupal網站的控制權。

根據WebsiteSetup在去年12月的統計,全球約有16.5億個網站,當中有一半採用內容管理系統(CMS)進行建置,在CMS市場上,市佔率最高的是WordPress,佔了60%,居次的是Joomla的6.6%,Drupal則以4.6%名列第三,意味著約有3,700萬個網站採用Drupal。

Drupal則說明,此一編號為CVE-2019-6340的安全漏洞,肇因於某些類型的欄位無法適當地處理非表格來源的資料,在某些情況下將允許駭客自遠端執行PHP程式,因而將它列為高度重大(highly critical)漏洞。

但只有在某些特定的配置下才會形成漏洞,包括在Drupal 8上啟用RESTful Web服務模組,同時允許PATCH或POST請求;或者是啟用了其它Web服務模組,像是在Drupal 8上啟用JSON:API,或是在Drupal 7上啟用Services或RESTful。

Drupal已修補了相關漏洞,建議Drupal 8.6.x用戶升級到Drupal 8.6.10,8.5.x用戶升級到Drupal 8.5.11,而雖然8.5.x以前的Drupal 8版本也受到該漏洞的影響,但因其產品壽命周期已經結束,已無更新程式可用。

若要立即緩解該漏洞則可關閉所有的Web服務模組,或是變更Web伺服器配置,禁止以PUT/PATCH/POST請求Web服務資源。


Advertisement

更多 iThome相關內容