Drupal修补了让黑客接管网站的关键错误

 
Drupal CMS团队发布了一个安全更新，以解决CMS核心组件中的严重严重性访问绕过漏洞，该漏洞可能允许攻击者控制受影响的站点。
根据安全问题，安全问题仅影响Drupal 8.7.4版本，Drupal 8.7.3及更早版本，Drupal 8.6.x及更早版本以及Drupal 7，因此仅在Drupal CMS上运行的一组有限网站受到影响.x不受影响。
“在Drupal 8.7.4中，当启用实验性工作空间模块时，会创建一个访问旁路条件，”Drupal团队说。
Drupal 8.7.5修补了访问绕过漏洞
今天发布了Drupal 8.7.5版本来修复跟踪为CVE-2019-6342的访问旁路错误，从而允许管理员快速修补他们的服务器以保护他们免受潜在的攻击。
更重要的是，根据Drupal开发团队的说法，该修复程序仅适用于运行update.php的受影响网站 – 这是升级到Drupal 8.7.5时所需的手动步骤。
对于启用了Workspaces模块的站点，需要运行update.php以确保清除所需的缓存。如果存在反向代理缓存或内容传送网络(例如Varnish，CloudFlare)，也建议清除它们。 – Drupal团队
更新到8.7.5非常重要，因为攻击者可以通过访问URL来利用此漏洞，并且不需要注册或身份验证级别来滥用受影响的网站。
幸运的是，尚未提供此漏洞的漏洞利用，但是，如果开发人员，大多数运行在Drupal 8.7.4上的站点都将受到攻击，因为“默认或常见模块配置可被利用”。
可采取的缓解措施
对于无法立即更新其服务器上的Drupal安装的管理员，也可以使用缓解措施，最简单的方法是禁用受影响站点的Workspaces模块。
美国国土安全部网络安全和基础设施安全局(CISA)也发出警告，敦促Drupal管理员和用户升级到修补的Drupal 8.7.5版本。
目前，根据“Drupal核心使用情况统计数据”页面上提供的官方数据，大约290,958个网站正在使用Drupal 8.x，总数为1,093,220。
使用Drupal的网站
“这些统计数据不完整;只有使用更新状态模块的Drupal网站才包含在数据中。自6.x版以来，该模块已包含在Drupal的下载中，因此数据不包括较旧的网站，”Drupal补充道。
此外，在W3Techs跟踪内容管理系统(CMS)的所有网站中，1.8%使用Drupal，使其成为互联网上第三大受欢迎的CMS，仅次于Wordpress(34.2%)和Joomla(2.8%)。