Drupal v8.2.7發布,修復了多個CMS漏洞
責編:mhshi |2017-03-23 10:27:41Drupal開發團隊發布了Drupal 8.2.7版本,解決了流行CMS中的一系列的漏洞。漏洞列表包括訪問繞過問題,跨站點請求偽造(CSRF)漏洞和遠程代碼執行的問題。
其中最嚴重的漏洞是編號為CVE-2017-6377訪問繞過漏洞,影響了CMS的編輯器模塊。
“當通過配置的文本編輯器(如CKEditor)添加專用文件時,編輯器將無法正確檢查被附加的文件的訪問,導致訪問繞過” Drupal安全公告描述到。
另一個中度嚴重的漏洞是編號為CVE-2017-6379的CSRF漏洞。攻擊者能夠利用這個漏洞通過已知的區塊ID來禁用網站的某些區塊。
在列表中,我們還發現了一個中度危險的CVE-2017-6381遠程代碼執行漏洞。 RCE漏洞CVE-2017-6381會影響第三方開發庫和依賴程序的開發。
好消息是,Drupal Composer依賴項通常不會安裝,并且默認執行.htaccess中的php保護。
為了提高Drupal安裝的安全性,Drupal v8.2.7包括了phpunit開發依賴的安全更新。 基本上,新版本中的Drupal核心需要最安全的phpunit版本。
更新Drupal版本是很必要的,CMS是黑客的特權目標,試圖利用在線可用的漏洞代碼來發現已知的漏洞。過時的版本會暴露網站使其用戶有網絡攻擊的風險。
關于Drupal
Drupal是一個開源的內容管理系統(CMS)平臺,用于構造提供多種功能和服務的動態網站,這些功能包括用戶管理(User Administration)、發布工作流(Publishing Workflow)、討論、新聞聚合(News Aggregation)、元數據(Metadata)操作和用于內容共享的XML發布。它綜合了強大并可自由配置的功能,能支持從個人博客 (Personal Weblog)到大型社區驅動(Community-Driven)的網站等各種不同應用的網站項目。
原文:http://securityaffairs.co/wordpress/57192/hacking/drupal-version-8-2-7.html