修补需要防御代码执行风险
流行的用户Drupal.内容管理系统(CMS)应该补贴其安装来防御最近解决的严重漏洞。
各种版本的广泛使用的PHP语言为基础,开源由于他们依赖于梨的脆弱性建立,CMS很脆弱Archive_tar.图书馆。
旧版本Archive_tar.通过Phar Outersialiation以及通过将文件的“文件名”在Tar存档中制作文件中的本地文件覆盖,作为本地文件邮政研究员Xorathustra解释道。
依赖这一点Archive_tar.库在Drupal的相关版本中创建任意PHP代码执行风险。
小心和宽
这CVE-2020-28948漏洞在Archive_tar.图书馆出现,因为“Phar:被封锁,但是Phar:未被阻止“,创建导致的向量以获得不定例攻击。
相同Archive_tar.图书馆也很容易被分开CVE-2020-28949错误因为它“有:// 文件名消毒只能解决PHAR攻击,因此任何其他流包装攻击(如文件://覆盖文件)仍然可以成功“。
通过更新图书馆版本1.4.10,解决了这两个问题。
由于Drupal依赖于早期版本的库,因此它太需要更新。用户应酌情将其软件升级到Drupal 9.0.9,8.9.10,8.8.12或7.75。
修补短缺,系统管理员可以通过防止不受信任的用户来缓解剥削.tar,.tar.gz,.bz2,或.tlz文件。
更多信息咨询,从Drupal的开发人员在周三(11月25日)出版。