開源內容管理框架Drupal對其Drupal 7、Drupal 8.5以及Drupal 8.6釋出新建置版本,以修補JavaScript函式庫jQuery和網頁應用程式框架Symfony中跨站腳本攻擊(Cross-Site Scripting,XSS)漏洞等其他問題,Drupal官方建議網站管理員立即更新。

由於jQuery官方在4月中時釋出新版jQuery 3.4.0,並於文件提到,之前版本存在跨站腳本攻擊的漏洞,因此Drupal抽換了其整合的jQuery版本。jQuery的這個漏洞可能導致跨站腳本攻擊,當開發者使用jQuery.extend(true, {}, ...)時,會發生意料之外的行為,未過濾的來源物件包含可列舉的__proto__屬性,則可能擴展污染原生Object.prototype。

jQuery官方提到,jQuery是一個DOM操作函式庫,在一般情況下會依照使用者的指示動作,雖然jQuery會盡量保護使用者安全,但是開發者也應該把關使用者輸入的內容,以規則過濾危險的資料。由於使用部分Drupal模組也會受該漏洞影響,因此為了安全起見,這個安全修補將往前向舊版本推送,包括Drupal 7和Drupal 8,但是不涵蓋Drupal 8.5.x或是其他停止支援的版本。

同一個Drupal更新,也修復了Drupal核心Symfony框架所發現的三個漏洞,分別是PHP模板引擎的跳脫驗證訊息CVE-2019-10909、驗證服務ID有效性CVE-2019-10910以及Cookie雜湊的問題CVE-2019-10911。第一個漏洞是開發者在使用PHP模板引擎的表單主題時,當驗證的訊息格式未跳脫又可能包含使用者輸入的時候,可能會與jQuery漏洞一樣,有遭受跨站腳本攻擊的風險。

Symfony的第二個驗證服務ID有效性漏洞與第一個漏洞類似,也是一個跟輸入格式驗證有關的漏洞,當使用未過濾的使用者輸入,衍生新的服務ID,則可能允許執行任意程式碼,導致遠端程式碼執行攻擊。第三個Cookie雜湊漏洞則讓攻擊者可以記錄使用者的Cookie,並用做不同身份驗證,這對於使用單點登入(SSO)的系統特別危險,駭客可能假冒其他用戶存取服務。


Advertisement

更多 iThome相關內容