未授权的攻击者通过上传带有恶意文件名的文件 ,可造成任意PHP代码执行。
漏洞名称 : Drupal远程代码执行漏洞CVE-2020-13671
威胁等级 : 高危
影响范围 : Drupal 9.0.x < 9.0.8
Drupal 8.9 < 8.9.9
Drupal 8.8.x < 8.8.11
Drupal 7 < 7.74
漏洞类型 : 远程代码执行
利用难度 : 一般
漏洞分析
1 Drupal 组件介绍
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。其中Framework是指Drupal内核中的功能强大的PHP类库和PHP函数库,以及在此基础上抽象的Drupal API。Drupal综合了强大并可自由配置的功能,能支持从个人博客(Personal Weblog)到大型社区驱动(Community-Driven)的网站等各种不同应用的网站项目,应用十分广泛。并且Drupal的代码在安全性、健壮性上具有世界最高水平,使得国外包括美国白宫、美国商务部、纽约时报、SONY等多家政府以及机构采用建站,在国内,也有许多高校采用Drupal来建设网站。
2 漏洞描述
2020年11月19日,Drupal官方发布一则最新安全公告SA-CORE-2020-012,本次公告中包含一个Critical 漏洞:Drupal远程代码执行漏洞(CVE-2020-13671),Drupal官方评分:17/25。未授权的攻击者通过上传带有恶意文件名的文件 ,可造成任意PHP代码执行。所以,该漏洞影响较大,建议受影响的Drupal用户及时更新到系统最新版本,并做好系统内恶意文件自查,以免受到恶意黑客攻击。
该漏洞源于Drupal Core无法正确处理上传文件中的某些文件名,这可能导致文件被解释为错误的扩展名,并被认作错误的文件类型从而被解析为PHP代码。所以,Drupal官方建议Drupal用户审核系统内所有以前上传的文件,检查是否有恶意扩展名。恶意文件主要针对包含多个扩展名的文件,例如filename.php.txt或filename.html.gif,扩展名中不带下划线(_)。需特别注意以下文件扩展名,即使后面有一个或多个其他文件扩展名,也应将其视为危险文件扩展名。
· phar
· php
· pl
· py
· cgi
· asp
· js
· html
· htm
· phtml
影响范围
Drupal 9.0.x < 9.0.8
Drupal 8.9 < 8.9.9
Drupal 8.8.x < 8.8.11
Drupal 7 < 7.74
解决方案
1 修复建议
-
如果用户使用了Drupal 9.0系列版本,建议立即升级到最新的Drupal 9.0.8版本:https://www.drupal.org/project/drupal/releases/9.0.8
-
如果用户使用了Drupal 8.9系列版本,建议立即升级到最新的Drupal 8.9.9版本:https://www.drupal.org/project/drupal/releases/8.9.9
-
如果用户使用了Drupal 8.8系列版本,建议立即升级到最新的Drupal 8.8.11版本:https://www.drupal.org/project/drupal/releases/8.8.11
-
如果用户使用了Drupal 7 系列版本,建议立即升级到最新的Drupal 7.74版本:https://www.drupal.org/project/drupal/releases/7.74
2 深信服解决方案
【深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署云端版云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。
【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
时间轴
2020/11/19 Drupal 官方发布安全公告
2020/11/19 深信服千里目安全实验室发布漏洞通告
参考链接
-
https://www.drupal.org/sa-core-2020-012
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Drupal远程代码执行漏洞CVE-2020-13671
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论