Drupal Guzzle多个信息泄露漏洞安全风险通告

admin 2022年6月14日23:30:55评论87 views字数 2381阅读7分56秒阅读模式
Drupal Guzzle多个信息泄露漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到Drupal官方发布通告,由于Drupal使用Guzzle库来处理对外部服务的 HTTP 请求和响应,因而会受到Guzzle信息泄露漏洞(包括CVE-2022-31042和CVE-2022-31043)的影响,攻击者可利用这些漏洞泄露cookie 或Authorization标头。目前,官方已有可更新版本,建议用户尽快升级至最新版本。

1.Drupal Guzzle信息泄露漏洞(CVE-2022-31042)

漏洞名称
Drupal Guzzle信息泄露漏洞(CVE-2022-31042)
公开时间
2022-06-10
更新时间
2022-06-14
CVE编号
CVE-2022-31042
其他编号
QVD-2022-8934
威胁类型
信息泄露
技术类型
信息暴露
厂商
开源产品
产品
Guzzle
风险等级
奇安信CERT风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未知
未知
未知
未知

漏洞描述

Guzzle中存在信息泄露漏洞,当使用https协议向服务器发起请求,服务器使用http协议重定向到某个URI进行响应,或重定向到另一个主机的URI进行响应时,在这个过程中任何手动添加到初始请求的“cookie”头不会被删除,会进行转发。

影响版本

Guzzle <= 6.5.6

7.0.0 <= Guzzle <= 7.4.3

不受影响版本

Guzzle == 6.5.7

Guzzle == 7.4.4

其他受影响组件

使用Guzzle进行传出请求的其他组件可能受此漏洞影响,如Drupal。

2.Drupal Guzzle信息泄露漏洞(CVE-2022-31043)

漏洞名称
Drupal Guzzle信息泄露漏洞(CVE-2022-31043)
公开时间
2022-06-10
更新时间
2022-06-14
CVE编号
CVE-2022-31043
其他编号
QVD-2022-8935
威胁类型
信息泄露
技术类型
信息暴露
厂商
开源产品
产品
Guzzle
风险等级
奇安信CERT风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
未知
未知
未知
未知

漏洞描述

Guzzle 6.5.6及之前版本、7.0.0 到 7.4.3 版本中存在信息泄露漏洞,当使用https协议向服务器发出请求,服务器重定向到http协议的URI进行响应时,从https到http的降级过程中不会删除 Authorization标头,Authorization 标头也会被转发。

影响版本

Guzzle <= 6.5.6

7.0.0 <= Guzzle <= 7.4.3

不受影响版本

Guzzle == 6.5.7

Guzzle == 7.4.4

其他受影响组件

使用Guzzle进行传出请求的其他组件可能受此漏洞影响,如Drupal。



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



威胁评估

1.Drupal Guzzle信息泄露漏洞(CVE-2022-31042)

漏洞名称
Drupal Guzzle信息泄露漏洞(CVE-2022-31042)
CVE编号
CVE-2022-31042
其他编号
QVD-2022-8934
CVSS 3.1评级
高危
CVSS 3.1分数
7.5
CVSS向量
访问途径(AV
攻击复杂度(AC
网络
所需权限(PR
用户交互(UI
不需要
不需要
影响范围(S
机密性影响(C
不变
完整性影响(I
可用性影响(A
危害描述

Guzzle存在信息泄露漏洞,攻击者可利用此漏洞泄露Cookie标头。

2.Drupal Guzzle信息泄露漏洞(CVE-2022-31043)

漏洞名称
Drupal Guzzle信息泄露漏洞(CVE-2022-31043)
CVE编号
CVE-2022-31043
其他编号
QVD-2022-8935
CVSS 3.1评级
高危
CVSS 3.1分数
7.5
 
 
 
CVSS向量
访问途径(AV
攻击复杂度(AC
网络
所需权限(PR
用户交互(UI
不需要
不需要
影响范围(S
机密性影响(C
不变
完整性影响(I
可用性影响(A
危害描述

Guzzle存在信息泄露漏洞,攻击者可利用此漏洞泄露Authorization标头。



处置建议

请尽快升级至安全版本:

1.如果您使用的是 Drupal 9.4,请更新到Drupal 9.4.0-rc2
2.如果您使用的是 Drupal 9.3,请更新到Drupal 9.3.16
3.如果您使用的是 Drupal 9.2,请更新到Drupal 9.2.21


请注意,9.2.x 之前的所有 Drupal 9 版本都已结束生命周期,Drupal 8 已经停止维护。Drupal 7 不受漏洞影响。


高级用户也可以通过暂时使用drupal/core而不是drupal/core-recommended 然后将 Guzzle 更新到所需版本来解决此问题(Guzzle 用户可升级至Guzzle 6.5.7 或 7.4.4安全版本)。


用户可参考以下链接获取更多信息:

https://www.drupal.org/sa-core-2022-011


参考资料

[1]https://www.drupal.org/sa-core-2022-011

[2]https://github.com/guzzle/guzzle/security/advisories/GHSA-f2wf-25xc-69c9

[3]https://github.com/guzzle/guzzle/security/advisories/GHSA-w248-ffj2-4v5q



时间线

2022年6月14日,奇安信 CERT发布安全风险通告


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Drupal Guzzle多个信息泄露漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月14日23:30:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Drupal Guzzle多个信息泄露漏洞安全风险通告http://cn-sec.com/archives/1115359.html

发表评论

匿名网友 填写信息