安全通告
1.Drupal Guzzle信息泄露漏洞(CVE-2022-31042)
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
漏洞描述 |
Guzzle中存在信息泄露漏洞,当使用https协议向服务器发起请求,服务器使用http协议重定向到某个URI进行响应,或重定向到另一个主机的URI进行响应时,在这个过程中任何手动添加到初始请求的“cookie”头不会被删除,会进行转发。 |
||
|
影响版本 |
|
||
|
不受影响版本 |
|
||
|
其他受影响组件 |
使用Guzzle进行传出请求的其他组件可能受此漏洞影响,如Drupal。 |
||
2.Drupal Guzzle信息泄露漏洞(CVE-2022-31043)
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
漏洞描述 |
Guzzle 6.5.6及之前版本、7.0.0 到 7.4.3 版本中存在信息泄露漏洞,当使用https协议向服务器发出请求,服务器重定向到http协议的URI进行响应时,从https到http的降级过程中不会删除 Authorization标头,Authorization 标头也会被转发。 |
||
|
影响版本 |
|
||
|
不受影响版本 |
|
||
|
其他受影响组件 |
使用Guzzle进行传出请求的其他组件可能受此漏洞影响,如Drupal。 |
||
1.Drupal Guzzle信息泄露漏洞(CVE-2022-31042)
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
Guzzle存在信息泄露漏洞,攻击者可利用此漏洞泄露Cookie标头。 |
|||
2.Drupal Guzzle信息泄露漏洞(CVE-2022-31043)
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
Guzzle存在信息泄露漏洞,攻击者可利用此漏洞泄露Authorization标头。 |
|||
请尽快升级至安全版本:
请注意,9.2.x 之前的所有 Drupal 9 版本都已结束生命周期,Drupal 8 已经停止维护。Drupal 7 不受漏洞影响。
高级用户也可以通过暂时使用drupal/core而不是drupal/core-recommended 然后将 Guzzle 更新到所需版本来解决此问题(Guzzle 用户可升级至Guzzle 6.5.7 或 7.4.4安全版本)。
用户可参考以下链接获取更多信息:
https://www.drupal.org/sa-core-2022-011
[1]https://www.drupal.org/sa-core-2022-011
[2]https://github.com/guzzle/guzzle/security/advisories/GHSA-f2wf-25xc-69c9
[3]https://github.com/guzzle/guzzle/security/advisories/GHSA-w248-ffj2-4v5q
2022年6月14日,奇安信 CERT发布安全风险通告
原文始发于微信公众号(奇安信 CERT):Drupal Guzzle多个信息泄露漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论