Drupal遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-32610）

2021-07-22

一、概要

近日，華為云關(guān)注到Drupal官方發(fā)布安全公告，披露Drupal存在一處嚴(yán)重級(jí)別的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-32610），該漏洞是由于第三方庫pear Archive_Tar導(dǎo)致的，如果contrib或自定義代碼使用該庫來提取來自潛在不受信任來源的tar存檔（例如 .tar、.tar.gz、.bz2 或 .tlz），可能會(huì)被惡意攻擊者利用導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用Drupal的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://www.drupal.org/sa-core-2021-004

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Drupal 9.1系列 < 9.1.11

Drupal 9.2系列 < 9.2.2

Drupal 8.9系列 < 8.9.17

Drupal 7系列 < 7.82

（8.9.x之前的Drupal 8版本和9.1.x之前的Drupal 9版本已經(jīng)停止維護(hù)，并且不接受安全保護(hù)）

安全版本：

Drupal 9.1系列  9.1.11

Drupal 9.2系列  9.2.2

Drupal 8.9系列  8.9.17

Drupal 7系列  7.82

四、漏洞處置

目前官方已在高版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。