• <code id="aw09e"><small id="aw09e"><track id="aw09e"></track></small></code>
  • <center id="aw09e"><em id="aw09e"></em></center>
    1. <code id="aw09e"><em id="aw09e"></em></code>
      <th id="aw09e"></th>
      <object id="aw09e"><option id="aw09e"><mark id="aw09e"></mark></option></object>

      1. <object id="aw09e"><nobr id="aw09e"></nobr></object><big id="aw09e"><em id="aw09e"></em></big>
        <code id="aw09e"></code>

      2. <pre id="aw09e"></pre>

        CVE-2020-28948/28949:Drupal任意PHP代碼執行漏洞通告

        時間:2020-11-27

        0x01 漏洞簡述

        2020年11月26日,360CERT監測發現Drupal發布了Drupal 代碼執行漏洞的風險通告,漏洞編號為CVE-2020-28949/CVE-2020-28948,漏洞等級:高危,漏洞評分:7.2。

        遠程攻擊者通過上傳特殊構造的.tar、.tar.gz、.bz2、.tlz文件 ,可造成任意代碼執行。

        對此,360CERT建議廣大用戶及時將Drupal升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

        0x02 風險等級

        360CERT對該漏洞的評定結果如下

        評定方式

        等級

        威脅等級

        高危

        影響面

        廣泛

        360CERT評分

        7.2

        0x03 漏洞詳情

        CVE-2020-28949/CVE-2020-28948: 代碼執行漏洞

        Drupal是使用PHP語言編寫的開源內容管理框架(CMF),它由內容管理系統(CMS)和PHP開發框架(Framework)共同構成。

        在Drupal項目中使用了PEAR Archive_Tar庫來管理文件,而該庫存在安全漏洞,如果將Drupal配置為允許上傳.tar、.tar.gz、.bz2、.tlz文件并處理它們,則可能造成代碼執行。

        0x04 影響版本

        –Drupal:Drupal: 9.0

        –Drupal:Drupal: 8.9

        –Drupal:Drupal: 8.8.x

        –Drupal:Drupal: 7

        0x05 修復建議

        通用修補建議

        升級到最新版本:

        – Drupal 9.0 版本用戶, 升級到

        Drupal 9.0.9

        – Drupal 8.9 版本用戶, 升級到

        Drupal 8.9.10

        – Drupal 8.8 及之前版本用戶, 升級到

        Drupal 8.8.12

        – Drupal 7 版本用戶, 升級到

        Drupal 7.75

        臨時修補建議

        禁止用戶上傳.tar、.tar.gz、.bz2或.tlz文件。

        0x06 相關空間測繪數據

        360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Drupal在全球均有廣泛使用,具體分布如下圖所示。

        0x07 時間線

        2020-11-25Drupal官方發布通告

        2020-11-26360CERT發布通告

        0x08 參考鏈接

        Drupal core – Critical – Arbitrary PHP code execution – SA-CORE-2020-013

        0x0a 特制報告下載鏈接

        一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。 用戶可直接通過以下鏈接進行特制報告的下載。

        CVE-2020-28948/28949: Drupal任意PHP代碼執行漏洞通告

         

        本文由360CERT安全通告原創發布

        https://www.anquanke.com/post/id/223848

        美国十次,欧美av,欧美情色,美国十次啦导航,美国十次啦超线导航_美国十次啦av导航