内容管理系统Drupal提出重大安全漏洞

全球第三大内容管理系统Drupal修补一重大安全漏洞,该漏洞允许远程黑客执行任意程序并取得Drupal网站的控制权。根据WebsiteSetup在去年12月的统计,全球约有16.5亿个网站,当中有一半采用内容管理系统(CMS)进行建置,在CMS市场上,市占率最高的是WordPress,占了60%,居次的是Joomla的6.6%,Drupal则以4.6%名列第三,意味着约有3,700万个网站采用Drupal。Drupal则说明,此一编号为CVE-2019-6340的安全漏洞,肇因于某些类型的字段无法适当地处理非表格来源的数据,在某些情况下将允许黑客自远程执行PHP程序,因而将它列为高度重大(highly critical)漏洞。

但只有在某些特定的配置下才会形成漏洞,包括在Drupal 8上启用RESTful Web服务模块,同时允许PATCH或POST请求;或者是启用了其它Web服务模块,像是在Drupal 8上启用JSON:API,或是在Drupal 7上启用Services或RESTful。Drupal已修补了相关漏洞,建议Drupal 8.6.x用户升级到Drupal 8.6.10,8.5.x用户升级到Drupal 8.5.11,而虽然8.5.x以前的Drupal 8版本也受到该漏洞的影响,但因其产品寿命周期已经结束,已无更新程序可用。若要立即缓解该漏洞则可关闭所有的Web服务模块,或是变更Web服务器配置,禁止以PUT/PATCH/POST请求Web服务资源。

转载于:https://my.oschina.net/u/3820994/blog/3013931

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值