网络与信息安全情况通报

　　第51期

　　北京网络与信息安全信息通报中心

　　2018年4月16

　　关于 Drupal框架存在远程代码执行漏洞的预警通报

　　近日 Drupal官方发布安全公告, Drupal核心框架存在远程代码执行的漏洞(CVE-2018-7600),此漏洞会对程序代码内带有“#”属性的变量进行特殊处理,并且添加相应命令,从而导致任意代码执行。通过该漏洞可直接获取网站最高权限,进而窃取敏感信息、篡改网站页面。 Drupal作为款开源的PHP内容管理系统,使用广泛,全球超过100万个网站使用,其中包括政府,电子零售,企业组织,金融机构等。漏洞影响范围较大,易造成现实危害,对我国家安全和社会稳定造成严重影响

　　针对该漏洞情况,请所有通报成员单位立即开展以下几方面工作：一是及时安装更新补丁，7.x用户升级到7.58版本，8.5.x用户升级到8.5.1版本，8.4.x用户升级到8.4.6版本，8.3.ⅹ用户升级到8.3.9版本， 其他版本已彻底不再维护,请尽快更新到上述版本，消除漏洞影响；二是安全使用系统,系统使用前务必做好修复软件验证、系统数据备份等工作；三是及时上报情况，请各单位接通报后立即开展工作，如有发生网络安全事件及时向网信办报告或直接上报。

　　网信办联系人：张晓华，电话61772580

　　北京网络与信息安全信息通报中心联系人：金镁，电话53121239