网络与信息安全情况通报

　　第54期

　　北京网络与信息安全信息通报中心

　　2018年4月26

　　关于 Drupal框架远程代码执行漏洞将发布后续补丁的情况通报

　　近日, Drupal官方宣布将对 Drupal核心框架存在的远程代码执行的漏洞进行第二次安全更新(CVE-2018-76002)。由于Drupal内容管理系统被广泛应用于党政机关、企事业单位、金融机构网站建设中漏洞影响范围较大,易造成现实危害,对我国家安全和社会稳定造成严重影响。为此，我中心组织技术支持单位对该事件进行分析，现将具体漏洞情况、影响范围以及网络安全工作提示汇总如下：

　　一、漏洞基本情况

　　Drupal是一款开源的PHP内容管理系统。攻击者可以利用程序设计缺陷,执行任意代码。通过该漏洞可直接获取网站最高权限,进而窃取敏感信息、篡改网站页面。前期,我中心已通报过关于 Drupal框架远程代码执行漏洞的相关预警。由于研究人员未公布该漏洞利用代码,因此该漏洞未被攻击者广泛利用。今日凌晨Drupal官方发布了最新修复补丁,攻击者可以在补丁发布后的数小时内写出利用工具,导致使用 Drupal框架的用户面临较高攻击风险。

　　二、影响范围

　　该漏洞影响的范围包括：

　　Drupal版本7.x

　　Drupal版本8.4.x

　　Drupal版本8.5.x

　　三、网络安全工作提示

　　针对该漏洞情况，请所有通报成员单位立即开展以下几方面工作:一是及时安装更新补丁，7.x、8.5.X和8.4.x请及时前往官网进行升级。由于此次升级后，官方对8.4.x不再提供安全更新，因此请随后升级至8.5.3或者最新的安全版本，彻底消除漏洞影响；二是部署安全防护设备及时防御，系统使用前务必做好修复软件验证系统数据备份等工作；三是及时上报情况,请各单位接通报后立即开展工作，如发生网络安全事件及时向网信办报告或直接上报。

　　网信办联系人：张晓华，电话61772580

　　北京网络与信息安全信息通报中心联系人：金镁，电话53121239