| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Drupal 近日發布更新以解決產品的安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 1.依照官方發佈更新到建議版本: Drupal 9.1,請更新至Drupal 9.1.3。 Drupal 9.0,請更新至Drupal 9.0.11。 Drupal 8.9,請更新至Drupal 8.9.13。 Drupal 7,請更新至Drupal 7.78。 8.9.x之前的Drupal 8版本已經停產,並不會獲得安全性更新。 2.設置 Drupal 禁止用戶上傳如 .tar、.tar.gz、.bz2、.tlz 等格式的壓縮檔。 |
| 細節描述: | Drupal已發布安全公告,以解決產品的安全性弱點,攻擊者可以利用該弱點來控制受影響的系統。 Drupal 使用了 PEAR Archive_Tar 作?依賴庫,在處理如 .tar、.tar.gz、.bz2 或 .tlz 等格式的壓縮檔時,由於過濾不嚴,攻擊者可構造包含符號鏈接的壓縮檔,結合上傳功能,可能導致存在目錄遍歷弱點,甚至遠端程式碼執行弱點。 |
| 參考資訊: | US-CERT Drupal |