信息來源：國家互聯(lián)網(wǎng)應(yīng)急中心

       2018年3月29日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了Drupal core遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2018-06660，對(duì)應(yīng)CVE-2018-7600）。綜合利用上述漏洞，攻擊者可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。目前，漏洞細(xì)節(jié)尚未公開。

        一、漏洞情況分析

        Drupal是一個(gè)由Dries Buytaert創(chuàng)立的自由開源的內(nèi)容管理系統(tǒng)，用PHP語言寫成。在業(yè)界Drupal常被視為內(nèi)容管理框架，而非一般意義上的內(nèi)容管理系統(tǒng)。

        Drupal 6，7，8多個(gè)子版本存在遠(yuǎn)程代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行任意代碼，從而影響到業(yè)務(wù)系統(tǒng)的安全性。

        CNVD對(duì)上述漏洞的綜合評(píng)級(jí)為“高?！?。 

        二、漏洞影響范圍

        Drupal的6.x，7.x和8.x版本受此漏洞影響。

        CNVD秘書處對(duì)該系統(tǒng)在全球的分布情況進(jìn)行了統(tǒng)計(jì)，全球系統(tǒng)規(guī)模約為30.9萬，用戶量排名前五的分別是美國（48.5%）、德國（8.1%）、法國（4%）、英國（3.8%）和俄羅斯（3.7%），而在我國境內(nèi)的分布較少（0.88%）。

        三、漏洞修復(fù)建議

        目前，廠商已發(fā)布補(bǔ)丁和安全公告以修復(fù)該漏洞，具體修復(fù)建議如下：

        1）推薦更新

        主要支持版本推薦更新到Drupal相應(yīng)的最新子版本。

        7.x版本更新到7.58

        更新地址：https://www.drupal.org/project/drupal/releases/7.58

        8.5.x版本更新到8.5.1

        更新地址：https://www.drupal.org/project/drupal/releases/8.5.1

        8.4.x版本更新到8.4.6

        更新地址：https://www.drupal.org/project/drupal/releases/8.4.6

        8.3.x版本更新到8.3.9

        更新地址：https://www.drupal.org/project/drupal/releases/8.3.9

        2）使用patch更新

        如果不能立即更新，請(qǐng)使用對(duì)應(yīng)patch。

        8.5.x，8.4.x，8.3.x patch地址：

        https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

        7.x patch地址：

       https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

        3）其他不支持版本

        Drupal 8.0/8.1/8.2版本已徹底不再維護(hù)，如果還在使用這些版本的Drupal，請(qǐng)盡快更新到8.3.9或8.4.6版本。

        Drupal 6也受到漏洞影響，此版本由Drupal 6 Long Term Support維護(hù)。

        參考 https://www.drupal.org/project/d6lts

        附：參考鏈接：

        https://www.drupal.org/sa-core-2018-002

        https://groups.drupal.org/security/faq-2018-002

        http://www.cnvd.org.cn/flaw/show/CNVD-2018-06660