Drupal 近日發布更新以解決產品的安全性弱點

風險等級: 高度威脅
摘 要: 弱點通告:Drupal 近日發布更新以解決產品的安全性弱點,建議請管理者儘速評估更新!
影響系統:
  • Drupal 9.0.8之前的版本
  • Drupal 8.9.9之前的版本
  • Drupal 8.8.11之前的版本
  • Drupal 7.74之前的版本
解決辦法: 安裝最新版本:
如果您使用的是Drupal 9.0,請更新至Drupal 9.0.8(含)
如果您使用的是Drupal 8.9,請更新至Drupal 8.9.9(含)
如果您使用的是Drupal 8.8,請更新到Drupal 8.8.11(含)
如果您使用的是Drupal 7,請更新至Drupal 7.74(含)
細節描述: Drupal 近日發布更新以解決產品的安全性弱點,建議請管理者儘速評估更新!

Drupal核心無法正確清理上傳文件上的某些文件名,這可能導致文件被解釋為錯誤的副檔名,並被用作錯誤的MIME類型或對於某些託管配置被執行為PHP。

此外建議您審核所有以前上傳的文件,以檢查是否有惡意副檔名。專門查找包含多個副檔名的文件,例如或,副檔名中沒有下劃線(_)。請特別注意以下文件副檔名,即使後面有一個或多個其他副檔名,也應將其視為危險文件:phar,php,pl,py,cgi,asp,js,html,htm,phtml

參考
資訊:
Drupal
US-CERT

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *