<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    [漏洞預警] Drupal 遠程代碼執行漏洞(CVE-2020-28949、CVE-2020-28948)

    X0_0X2020-11-26 18:16:34

    2020年11月26日,阿里云應急響應中心監測到 drupal 官方發布安全更新,修復了 Drupal 遠程代碼執行漏洞(CVE-2020-28949、CVE-2020-28948)。

    漏洞描述

    Drupal是使用PHP語言編寫的開源內容管理框架。11月25日Drupal官方發布安全更新,修復了Drupal 遠程代碼執行漏洞(CVE-2020-28949、CVE-2020-28948)。Drupal使用了PEAR Archive_Tar作為依賴庫,在處理如.tar、.tar.gz、.bz2或.tlz等格式的壓縮包時,由于過濾不嚴,可能導致存在PHAR反序列化漏洞,從而造成遠程代碼執行。阿里云應急響應中心提醒 Drupal 用戶盡快采取安全措施阻止漏洞攻擊。

    影響版本

    • Drupal < 9.0.9

    • Drupal < 8.9.10

    • Drupal < 8.8.12

    • Drupal < 7.75

    安全版本

    • Drupal 9.0.9

    • Drupal 8.9.10

    • Drupal 8.8.12

    • Drupal 7.75

    安全建議

    1. 升級Drupal至最新版本。

    2. 設置Drupal禁止用戶上傳如.tar、.tar.gz、.bz2、.tlz等格式的壓縮包。

    相關鏈接

    www.drupal.org/sa-core-2020-013

    遠程代碼執行漏洞drupal
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    舊的安全漏洞如何繼續構成威脅
    2022-08-08 10:00:00
    修補安全漏洞應該是一個簡單的過程。供應商針對已知缺陷發布補丁,所有受影響的組織都應用該補丁。但是,理論上看起來很簡單的事情在現實中不一定如此。安全公司 Rezilion 于 8 月 8 日星期一發布的一份報告研究了供應商修補的舊漏洞如何仍然對組織構成風險。
    [漏洞預警] Drupal 遠程代碼執行漏洞(CVE-2020-28949、CVE-2020-28948)
    2020-11-26 18:16:34
    2020年11月26日,阿里云應急響應中心監測到 Drupal 官方發布安全更新,修復了 Drupal 遠程代碼執行漏洞漏洞描述 Drupal是使用PHP語言編寫的開源內容管理框架。阿里云應急響應中心提醒 Drupal 用戶盡快采取安全措施阻止漏洞攻擊。影響版本 Drupal < Drupal < Drupal < Drupal < 安全版本 Drupal Drupal Drupal Drupal 安全建議 升級Drupal至最新版本。設置Drupal禁止用戶上傳如.tar、.、.bz2、.tlz等格式的壓縮包。
    漏洞預警】CNNVD關于 Drupal Core遠程代碼執行漏洞情況的通報
    2018-05-02 21:11:53
    近日,國家信息安全漏洞庫(CNNVD)收到關于Drupal Core遠程代碼執行漏洞(CNNVD-201804-1490、CVE-2018-7602)情況的報送。成功利用此漏洞的攻擊者可以對目標系統進行遠程代碼執行攻擊。Drupal的7.x版和8.x版等多個版本均受此漏洞影響。目前,該漏洞的部分漏洞驗證代碼已在互聯網上公開,且Drupal官方已經發布補丁修復了該漏洞,建議用戶及時確認是否受到漏洞
    過去10年發生的10起分水嶺式網絡安全事件
    2022-07-26 12:49:04
    從Heartbleed到Apache Struts再到SolarWinds,這些是過去10年來發生的分水嶺式的網絡安全事件。嚴重的漏洞、廣泛的網絡攻擊已經改變了網絡安全的許多方面。為了回顧過去10年發生的安全事件,網絡安全供應商Trustwave公司日前發表了一篇名為《十年回顧:漏洞狀態》的博客文章,其中列出了過去10年中最突出和最值得注意的10個網絡安全問題和違規行為。
    2021年數字安全大事記
    2022-01-01 19:38:39
    2021年可謂是數字安全時代的開啟元年。習近平總書記在2021年世界互聯網大會烏鎮峰會開幕的賀信中強調,“筑牢數字安全屏障,讓數字文明造福各國人民,推動構建人類命運共同體。” 中央網絡安全和信息化委員會在2021年11月印發了《提升全民數字素養與技能行動綱要》,綱要在部署的第六個主要任務中明確了“提高數字安全保護能力”的要求。
    Drupal漏洞(CNNVD-201804-1490、CVE-2018-7602)被利用來傳播門羅幣
    2018-06-28 21:33:30
    趨勢科技在上周發表的博客文章中指出,其安全團隊最近觀察到一系列利用CNNVD-201804-1490(CVE-2018-7602)開展的網絡攻擊,這是Drupal內容管理框架中的一個安全漏洞。目前,這些攻擊旨在將受影響的系統變成門羅幣挖礦bot。值得注意的是攻擊隱藏在Tor網絡后面以逃避檢測的方式,以及如何在用加密貨幣挖掘惡意軟件感染目標系統之前首先完成對系統的檢查。
    關于Drupal core遠程代碼執行漏洞的安全公告
    2018-04-02 22:07:48
    2018年3月29日,國家信息安全漏洞共享平臺(CNVD)收錄了Drupal core遠程代碼執行漏洞(CNVD-2018-06660,對應CVE-2018-7600)。綜合利用上述漏洞,攻擊者可實現遠程代碼執行攻擊。目前,漏洞細節尚未公開。
    Drupal 解決 CVE-2020-13671 遠程執行代碼漏洞
    2020-11-20 15:54:35
    Drupal開發團隊已經發布了安全更新,以修復由于未能正確清理上傳文件名稱而導致的遠程代碼執行漏洞。“ Drupal核心無法正確清理上傳文件上的某些文件名,這可能導致文件被解釋為錯誤的擴展名,并被用作錯誤的MIME類型或對于某些托管配置被執行為PHP。”閱讀Drupal發布的安全公告。開發團隊已通過發布、、和版本解決了Drupal 7、8和9中的漏洞。9月,Drupal維護人員修復了流行的內容管理系統中的多個信息泄露和跨站點腳本漏洞
    嚴重的PHPMailer漏洞使數百萬網站容易受到遠程攻擊
    2022-08-04 01:30:54
    由波蘭安全研究人員Dawid Golunski在法律黑客中發現的關鍵漏洞允許攻擊者在web服務器的上下文中遠程執行任意代碼,并破壞目標web應用程序。Golunski負責地向開發人員報告了該漏洞,開發人員已經在他們的新版本PHPMailer 5.2.18中修補了該漏洞
    X0_0X
    暫無描述
      亚洲 欧美 自拍 唯美 另类