内容管理系统Drupal提出重大安全漏洞

最新推荐文章于 2024-07-27 12:20:46 发布
最新推荐文章于 2024-07-27 12:20:46 发布
阅读量394 收藏
点赞数
文章标签: python php
原文链接:https://my.oschina.net/u/3820994/blog/3013931
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

全球第三大内容管理系统Drupal修补一重大安全漏洞,该漏洞允许远程黑客执行任意程序并取得Drupal网站的控制权。根据WebsiteSetup在去年12月的统计,全球约有16.5亿个网站,当中有一半采用内容管理系统(CMS)进行建置,在CMS市场上,市占率最高的是WordPress,占了60%,居次的是Joomla的6.6%,Drupal则以4.6%名列第三,意味着约有3,700万个网站采用Drupal。Drupal则说明,此一编号为CVE-2019-6340的安全漏洞,肇因于某些类型的字段无法适当地处理非表格来源的数据,在某些情况下将允许黑客自远程执行PHP程序,因而将它列为高度重大(highly critical)漏洞。

但只有在某些特定的配置下才会形成漏洞,包括在Drupal 8上启用RESTful Web服务模块,同时允许PATCH或POST请求;或者是启用了其它Web服务模块,像是在Drupal 8上启用JSON:API,或是在Drupal 7上启用Services或RESTful。Drupal已修补了相关漏洞,建议Drupal 8.6.x用户升级到Drupal 8.6.10,8.5.x用户升级到Drupal 8.5.11,而虽然8.5.x以前的Drupal 8版本也受到该漏洞的影响,但因其产品寿命周期已经结束,已无更新程序可用。若要立即缓解该漏洞则可关闭所有的Web服务模块,或是变更Web服务器配置,禁止以PUT/PATCH/POST请求Web服务资源。

转载于:https://my.oschina.net/u/3820994/blog/3013931

weixin_34311757
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
Drupal CMS 开源内容管理系统 v8.5.0
11-07
Drupal CMS(内容管理系统)是一个强大的开源软件,专为构建功能丰富的网站而设计。v8.5.0是这个系统的一个重要版本,它基于PHP编程语言,具有高度的灵活性和可扩展性,允许开发者和非开发者构建和管理各种类型的...
内容管理系统CMS学习总结
热门推荐
bcbobo21cn的专栏
09-01 1万+
CMS (内容管理系统) CMS是Content Management System的缩写,意为"内容管理系统"。 内容管理系统是企业信息化建设和电子政务的新宠,也是一个相对较新的市场。对于内容管理,业界还没有一个统一的定义,不同的机构有不同的理解。 中文名 网站内容管理系统 外文名 CMS  全    名 Content Management System  意    为 内容管理系统
安全运营中心还可以这么用,送给云上处理漏洞应急的筒子们
qcloud_security的博客
07-05 419
随着云计算技术迅猛发展,云平台的稳定性和可扩展性得到越来越多的企业认可,很多企业开始愿意把自身业务放在云上,节约成本的同时,还方便弹性扩展。然而云上的安全管理也逐渐成为大家比较关心的问题,其中漏洞应急响应则是几乎每个企业或者云用户的家常便饭了。 今天邀请到云鼎实验室云安全专家chad为我们分享漏洞应急那些事,chad从事云上安全漏洞管理和应急响应相关工作6年,遇到过大量云用户爆发安全漏洞后未及...
应用软件漏洞利用分布
securitypaper的博客
10-27 708
Adobe 公司在 2005 年收购 Flash,并大力推广应用使其一度是漏洞挖掘人员的研究焦点,根据图 3.4 的历史数据可以看到,2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄 露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后,更是给漏洞利用带来了通用的模板 1,但 之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制,Flash 漏洞利用的门槛被加 大了很多。 图 3.4 FL
drupal_Drupal社区在DevOps采纳中的地位
cuml0912的博客
07-07 130
drupal 在本文的第一部分 ,我们解释了为什么DevOps是现代技术组织最重要的战略。 要了解有关如何使用DevOps的更多信息,我们启动了2019年Drupal社区DevOps调查 ,该调查正在收集数据,直到4月10日在DrupalCon上展示结果为止。该调查要求Drupal社区成员使用以下方法评估24个DevOps维度上的团队:利开特式量表。 对调查中的每个维度进行评分,对所有受访者...
银企直连ukey 集中管理方案
m0_56165522的博客
05-18 4006
一、银企直连 随着银行业务自动化和数据集中化的提高,很多企业客户需要柜台办理的业务都转移到在线办理,目前主流的银行都专门为企业客户提供了ukey,以及对应的网络接口,实现在线账务查询,转账等业务。 二、企业使用银行Ukey遇到的问题 2.1企业使用银行Ukey常见问题 使用加密狗/加密锁(UKey)的企业,尤其是云计算虚拟化技术的大型企业,往往会用到大量的行业加密狗,这会导致一系列困扰:其一,加密狗在物理传递过程中,难免会发生各种状况,如丢失或毁损;其二,因公司业务需要,员工可能必须随身携带加密..
.net cms系统
软件的世界
12-18 3227
提起开源cms,大家第一想到的是php的cms,因为php开源的最早,也最为用户和站长们认可,随着各大cms系统的功能的不断完善和各式各样的开源cms的出现,.net和java的高端的cms系统也逐渐的走上了开源的路线,尤其是 .net的cms系统,从最早国外的开源,到现在国内致力于.net的cms系统的研发的公司和团队也渐渐认清楚开源路线的必然性,于是乎竞相的提出开源战略路线,但有的还是并不是全
约62%运行PHP旧版本的互联网站点十周后将面临安全风险
weixin_33972649的博客
10-16 53
根据W3Techs的统计数据,目前所有互联网站点中约有78.9%仍使用PHP运行。但至2018年12月31日,PHP 5.6.x的安全支持将正式停止,标志着官方对任何版本的PHP 5.x分支的一切支持都会终止。所以从明年开始,有62%仍在运行PHP 5.x版本的Internet站点将停止接收其服务器和网站底层技术的安全更新。这意味着从明年起,一旦不轨分子发现PHP的漏洞,数以...
渗透测试实战Vulnhub-Lampiao
weixin_44558065的博客
06-22 1588
目录 一、设计概述 1.1、渗透测试的意义 1.2、渗透测试的目的 二、需求分析 2.1、用户需求分析 2.2、渗透测试 三、方案规划与实施 3.1、信息收集 3.1.1 Nmap扫描 3.1.2 wpscan扫描 3.1.4 webdirscan目录扫描 3.2 漏洞分析 3.2.1 漏洞名称 3.2.2 漏洞概述 3.2.3 漏洞点 3.2.4 漏洞触发流程 3.2.5 漏洞利用 3.2.6 修复意见 3.3 web渗透 一、设计概述 1.1、渗透测试的意义 信息安全等级保护的要求 2015年12月2
Drupal 开源内容管理系统 v8.4.4 英文版
11-25
Drupal英文版简介 Drupal 是一个开源的内容管理系统(CMS) 平台,它是用PHP写成的。主要用于构造提供多种功能和服务的动态网站,这些功能包括用户管理(UserAdministration)、发布工作流 (Publ
Drupal CMS 开源内容管理系统 v8.4.5
11-07
在"Drupal CMS 开源内容管理系统 v8.4.5"中,我们可以关注以下几个重要的知识点: 1. **模块化设计**:Drupal的核心优势之一就是它的模块化系统。这些模块可以添加到网站中,以实现特定的功能,如评论、搜索优化、...
Drupal 开源内容管理系统 v8.4.0 RC1
11-28
Drupal是全球广泛使用的开源内容管理系统(CMS),以其灵活性和可扩展性著称。Drupal的核心功能包括站点构建、内容管理、用户管理和权限控制,为开发者和非开发者提供了构建复杂Web应用程序的工具。Drupal 8.4.0 RC1...
Drupal 内容管理系统英文版 v8.0.5
12-07
Drupal是一个开源的内容管理系统(CMS)平台,它是用PHP写成的。Drupal有一个优秀的模块化结构,提供了许多模块,包括短消息、个性化书签、网站管理、Blog、日记、电子商务、电子出版、留言簿、Job、网上电影院、论坛...
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
最新发布
qq_64603703的博客
07-27 665
详细解说数据分析pandas库中的常用方法
随机数种子的作用
帆的博客
07-23 1312
设置随机数种子(random seed)的目的是为了确保随机数生成器在每次运行时产生相同的随机数序列,从而保证实验结果的一致性。随机数种子通过初始化随机数生成器的内部状态,使得在相同的种子值下,随机数生成器每次调用时生成的序列是相同的。
全网最详细Gradio教程系列5——Gradio Client: python
shao918516的博客
07-26 774
程序部署完成后,如何将Gradio App作为API访问使用呢,这就用到Gradio Client。本章讲解Gradio Client的三种使用方式:python、javascript和curl,受字数限制,所以分三篇博客发布。 使用Gradio Python Client非常易于将Gradio应用程序作为API使用,本节讲述gradio_client安装、如何连接Gradio应用程序、查看可用API及其使用方式、job及session等用法。 通过Gradio Python Cli
全面解析 SnowNLP:中文文本处理、情感分析
有勇气的牛排博客
07-24 482
SnowNLP 是一个专门用于处理中文文本的 Python库。分词情感分析关键词提取文本分类拼音转换繁体转简体词相似度计算等测试环境:Python3.10.9尚未测出该功能text = "有勇气的牛排写的文章通俗易懂,爱了爱了"文本分类使用的是 SnowNLP 的情感分析模型。
Drupal:易用的内容管理系统
"Drupal宝典是关于Drupal CMS的详细指南,涵盖了基础和进阶内容,旨在帮助用户理解和使用这个内容管理系统来构建和管理网站。" Drupal,一个源于荷兰语的词,意味着“水滴”,是一种基于PHP的开源内容管理系统(CMS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值