關于Drupal core遠程代碼執行漏洞的安全公告

2018年3月29日，國家信息安全漏洞共享平臺（CNVD）收錄了Drupal core遠程代碼執行漏洞（CNVD-2018-06660，對應CVE-2018-7600）。綜合利用上述漏洞，攻擊者可實現遠程代碼執行攻擊。目前，漏洞細節尚未公開。

一、漏洞情況分析

Drupal是一個由Dries Buytaert創立的自由開源的內容管理系統，用PHP語言寫成。在業界Drupal常被視為內容管理框架，而非一般意義上的內容管理系統。

Drupal 6，7，8多個子版本存在遠程代碼執行漏洞，遠程攻擊者可利用該漏洞執行任意代碼，從而影響到業務系統的安全性。

CNVD對上述漏洞的綜合評級為“高危”。 

二、漏洞影響范圍

Drupal的6.x，7.x和8.x版本受此漏洞影響。

CNVD秘書處對該系統在全球的分布情況進行了統計，全球系統規模約為30.9萬，用戶量排名前五的分別是美國（48.5%）、德國（8.1%）、法國（4%）、英國（3.8%）和俄羅斯（3.7%），而在我國境內的分布較少（0.88%）。

三、漏洞修復建議

目前，廠商已發布補丁和安全公告以修復該漏洞，具體修復建議如下：

1）推薦更新

主要支持版本推薦更新到Drupal相應的最新子版本。

7.x版本更新到7.58

更新地址：https://www.drupal.org/project/drupal/releases/7.58

8.5.x版本更新到8.5.1

更新地址：https://www.drupal.org/project/drupal/releases/8.5.1

8.4.x版本更新到8.4.6

更新地址：https://www.drupal.org/project/drupal/releases/8.4.6

8.3.x版本更新到8.3.9

更新地址：https://www.drupal.org/project/drupal/releases/8.3.9

2）使用patch更新

如果不能立即更新，請使用對應patch。

8.5.x，8.4.x，8.3.x patch地址：

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

7.x patch地址：

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

3）其他不支持版本

Drupal 8.0/8.1/8.2版本已徹底不再維護，如果還在使用這些版本的Drupal，請盡快更新到8.3.9或8.4.6版本。

Drupal 6也受到漏洞影響，此版本由Drupal 6 Long Term Support維護。

參考 https://www.drupal.org/project/d6lts