一、概要

近日，Drupal官方發(fā)布了安全更新，其中披露了一個(gè)高危級(jí)別的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-6340）。漏洞是由于傳入 RESTful Web服務(wù)的數(shù)據(jù)在某些字段類型中缺少適當(dāng)?shù)陌踩^濾造成的，漏洞成功利用可導(dǎo)致目標(biāo)主機(jī)上遠(yuǎn)程代碼執(zhí)行。

請(qǐng)使用到Drupal的租戶檢查當(dāng)前使用的版本，及時(shí)升級(jí)到安全版本。

利用漏洞：CVE-2019-6340

參考鏈接：

https://www.drupal.org/sa-core-2019-003

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

Drupal < 8.6.10版本

Drupal < 8.5.11版本

四、修復(fù)和緩解方法

修復(fù)方法：

Drupal 8.6.x 版本升級(jí)到 Drupal 8.6.10 版本：

https://www.drupal.org/project/drupal/releases/8.6.10

Drupal 8.5.x 或更早期版本, 需升級(jí)到 Drupal 8.5.11 版本：

https://www.drupal.org/project/drupal/releases/8.5.11

Drupal 7不需要內(nèi)核更新，但是使用到Drupal 7的貢獻(xiàn)模塊（contributed modules）需進(jìn)行升級(jí)，參考如下：

https://www.drupal.org/security/contrib

緩解措施：

禁用所有Web服務(wù)模塊，或者禁止Web服務(wù)器接受Put/Patch/Post請(qǐng)求。（注意：根據(jù)服務(wù)器的配置，Web服務(wù)可以在多個(gè)路徑上訪問。在Drupal 7上，資源通?？梢酝ㄟ^路徑以及“q”查詢參數(shù)的結(jié)合進(jìn)行查詢。對(duì)于Drupal 8，若前綴為index.php/，路徑依然可以正常訪問）

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。