- A+
所属分类:未分类
开发人员建议用户尽快更新他们的系统
Drupal内容管理系统(CMS)刚刚发布了两个安全更新来纠正关键漏洞,正如国际网络安全研究所的网络安全和道德黑客专家所报告的那样。 据报道,如果要利用漏洞,他们将允许恶意用户控制受影响的系统。
具体来说,更新补丁适用于Drupal的7.x,8.5.x和8.6.x版本,可以通过将Drupal更新到版本7.62,8.5.9或8.6.6来更正。
第一个关键漏洞,跟踪为CVE-2018-1000888,与PEAR Archive_Tar Library的实现有关,这是一个由第三方开发的插件,也由其编辑纠正。 如果被利用,此漏洞可能会导致远程代码执行,正如网络安全专家所报告的那样。
第二个漏洞尚未拥有CVE密钥,是在对不受信任的phar:// URI执行文件操作时,PHP内置phar包装器中存在的远程代码执行缺陷。 当一些Drupal代码(例如core,contrib或custom)可能对未经充分验证的用户输入执行文件操作时,这可能会导致问题,从而使它们暴露于此漏洞。
尽管这些漏洞被认为是至关重要的,但并非一切都是坏消息。 据网络安全专家称,没有证据表明安全故障已在实际环境中被利用,因为它们的利用很复杂,因为易受攻击的系统需要管理员权限。
Facebook的
推特
LinkedIn
电子邮件
Pinterest的
书签交易
偶然发现
2019年1月18日
