首页 > 清静研究 > 清静转达 > 清静通告

宣布时间 2019-01-18

暂无严重 CVSS分值：官方未评定

Drupal 8.6.x.

Drupal 8.5.x.

Drupal 7.x.

1月17日，Drupal宣布了Drupal 7,8.5和8.6的清静更新，解决了两个可能被使用来执行恣意代码的“要害”清静误差。

远程攻击者可以使用第一个误差来执行恣意PHP代码。该误差保存于PHP中实现的phar流包装中，与处置惩罚不受信托的phar:// URI的方法有关。

一些Drupal代码可能在对没有经由充分验证的用户输入执行文件操作，从而袒露于此误差。

代码路径通常需要会见治理权限或非典范设置，从而减轻了此误差。

第二个误差影响了PEAR Archive_Tar，这是一个用PHP处置惩罚.tar文件的第三方库。攻击者可以使用特制的.tar文件删除系统上的恣意文件，甚至可能执行远程代码。该库宣布了一个清静更新，它会影响一些Drupal设置。有关详细信息，请参阅CVE-2018-1000888。

现在，有使用CVE-2018-1000888的EXP: https://www.anquanke.com/vul/id/1450307。

Drupal已在其最新版本修补了这两个误差：

Drupal 8.6.x升级到 Drupal 8.6.6.

Drupal 8.5.x 升级到Drupal 8.5.9.

Drupal 7.x升级到Drupal 7.62.

8.5.x之前的Drupal 8版本将不再吸收清静更新，由于它们已经抵达使用寿命。

https://www.drupal.org/sa-core-2019-001

https://www.drupal.org/sa-core-2019-002

http://blog.pear.php.net/2018/12/20/security-vulnerability-announcement-archive_tar/

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明