漏洞背景
近日Drupal官方发布安全公告,由于使用了pear/Archive_Tar库,导致Drupal存在目录穿越漏洞。
漏洞描述
Archive_Tar库存在CVE-2020-36193漏洞,Archive_Tar中的Tar.php未对符号链接检查从而导致目录穿越的操作。攻击者通过上传构造的恶意.tar, .tar.gz, .bz2, 或 .tlz文件,可以写入恶意代码到Drupal服务器中。
漏洞危害
高危
影响版本
还在支持的所有Drupal版本
解决方案
-
Drupal 9.1,请更新至Drupal 9.1.3。
-
Drupal 9.0,请更新至Drupal 9.0.11。
-
Drupal 8.9,请更新至Drupal 8.9.13。
-
Drupal 7,请更新至Drupal 7.78。
-
8.9.x之前的Drupal 8版本已经停止支持,没有更新。但是可以禁止上传.tar, .tar.gz, .bz2, 或 .tlz文件,以减轻该漏洞。
参考信息
-
https://www.drupal.org/sa-core-2021-001
-
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36193
-
https://github.com/pear/Archive_Tar/commit/cde460582ff389404b5b3ccb59374e9b389de916
为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CICSVD、CVE证书、编号和致谢。如需帮助请咨询 [email protected]
本文始发于微信公众号(山石网科安全技术研究院):漏洞通告 | Drupal目录穿越漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论