【漏洞预警】Drupal 8 多处高危漏洞

2017-08-21 14:10:55
Dear user
您好,Drupal研究人员于近期发布安全报告,宣称已修复Drupal 8多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8多个系统组件,包括实体访问系统、REST API 与部分视图组件。

为避免您的业务受影响,京东云建议您及时开展自查,并尽快完成升级更新,详细参见如下指引说明:

【漏洞概述】
•CVE-2017-6923
在 Drupal 8 中存在一关键漏洞影响视图组件。当用户创建视图时,可以选择使用 Ajax 通过过滤器参数更新数据。不过,视图子模块仅对配置为 Ajax 的视图进行访问。如果用户对视图具有访问限制,那么可以减轻系统损失,即使用户正使用另一模块显示。

•CVE-2017-6924
在 Drupal 8 中存在一个绕过访问权限的关键漏洞,即当无访问权限的任何用户驻留在 REST API 时,允许通过 REST 发布评论。目前,此漏洞已被评估为高危漏洞,因为它影响具有 RESTful Web 服务模块与启用注释实体 REST 资源的站点。

•CVE-2017-6925
在Drupal 8 中存在一处高危漏洞,影响实体访问系统,允许攻击者查看、创建、删除或更新实体。不过,该漏洞仅影响不具备 UUID 实体,以及对同一实体不同版本有多种访问限制的实体系统。

【漏洞编号】
CVE-2017-6923
CVE-2017-6924
CVE-2017-6925

【风险等级】
高风险

【影响范围】
Drupal core 8.x ,8.3.7之前的版本

【检测方法】
自行检查使用的版本是否在受影响范围内

【修复建议】
如果使用的是Drupal core 8.x,请升级到官方最新8.3.7版本

【相关参考】
https://www.drupal.org/SA-CORE-2017-004
http://hackernews.cc/archives/13634?spm=5176.7758199.2.1.eNIP8H

JD Cloud team

2017-08-21 14:10:55

This content does not have an English version, but a Chinese version, as shown below.

Do not show this message again.
×