关于 Drupal框架存在远程代码执行漏洞的预警通报(转)
时间:2018-04-17
网络与信息安全情况通报
第51期
北京网络与信息安全信息通报中心
2018年4月16
关于 Drupal框架存在远程代码执行漏洞的预警通报
近日 Drupal官方发布安全公告, Drupal核心框架存在远程代码执行的漏洞(CVE-2018-7600),此漏洞会对程序代码内带有“#”属性的变量进行特殊处理,并且添加相应命令,从而导致任意代码执行。通过该漏洞可直接获取网站最高权限,进而窃取敏感信息、篡改网站页面。 Drupal作为款开源的PHP内容管理系统,使用广泛,全球超过100万个网站使用,其中包括政府,电子零售,企业组织,金融机构等。漏洞影响范围较大,易造成现实危害,对我国家安全和社会稳定造成严重影响
针对该漏洞情况,请所有通报成员单位立即开展以下几方面工作:一是及时安装更新补丁,7.x用户升级到7.58版本,8.5.x用户升级到8.5.1版本,8.4.x用户升级到8.4.6版本,8.3.ⅹ用户升级到8.3.9版本, 其他版本已彻底不再维护,请尽快更新到上述版本,消除漏洞影响;二是安全使用系统,系统使用前务必做好修复软件验证、系统数据备份等工作;三是及时上报情况,请各单位接通报后立即开展工作,如有发生网络安全事件及时向网信办报告或直接上报。
网信办联系人:张晓华,电话61772580
北京网络与信息安全信息通报中心联系人:金镁,电话53121239