商业
您现在的位置:首页 > 商业 > Drupal修补了让黑客接管网站的关键错误
  • 第三批专项债六月底发完 项目完成审核

    第三批专项债六月底发完 项目完成审核

    发布时间:2020/04/06

    财政部副部长许宏才4月3日在新闻发布会上表示,今年以来,根据全国人大常委会授权,财政部提前下达了2020年部分新增专项债券额度12900亿元。截至2020年3月31日,全国各地发行新增专项债券1.08万亿元,占84%,发行...

  • 国美零售转型加速 携拼多多“迎战”零售业大考

    国美零售转型加速 携拼多多“迎战”零售业大考

    发布时间:2020/04/06

    随着国内疫情初步得到控制,零售消费市场也在逐渐恢复运转。日前,国务院联防联控机制举办新闻发布会。商务部消费促进司负责人王斌在会上指出,将千方百计促进消费回补和潜力释放,壮大新型消费和升级消费,扩大...

  • 美新冠疫情蔓延,建霖家居等IPO企业受累

    美新冠疫情蔓延,建霖家居等IPO企业受累

    发布时间:2020/04/06

    编者按: 随着疫情蔓延,全球新冠肺炎确诊病例已突破百万,累计死亡超5万例,其中,美国确诊超过23万例,欧洲确诊超过50万例。作为全球经济重要力量的欧美地区,其疫情将对IPO企业产生什么影响? “有一天美国将成...

  • 信托代销哪家强?招行去年赚64亿

    信托代销哪家强?招行去年赚64亿

    发布时间:2020/04/04

    证券时报记者 杨卓卿 随着银行年报密集披露,一些行业巨头代销信托产品的情况也浮出水面。 证券时报记者注意到,“零售之王”招商银行2019年代销的信托产品规模超过3000亿元,借此实现64.32亿元的手续费及佣金收入...

Drupal修补了让黑客接管网站的关键错误

发布时间:2019/07/18 商业 浏览次数:806

 
Drupal CMS团队发布了一个安全更新,以解决CMS核心组件中的严重严重性访问绕过漏洞,该漏洞可能允许攻击者控制受影响的站点。
根据安全问题,安全问题仅影响Drupal 8.7.4版本,Drupal 8.7.3及更早版本,Drupal 8.6.x及更早版本以及Drupal 7,因此仅在Drupal CMS上运行的一组有限网站受到影响.x不受影响。
“在Drupal 8.7.4中,当启用实验性工作空间模块时,会创建一个访问旁路条件,”Drupal团队说。
Drupal 8.7.5修补了访问绕过漏洞
今天发布了Drupal 8.7.5版本来修复跟踪为CVE-2019-6342的访问旁路错误,从而允许管理员快速修补他们的服务器以保护他们免受潜在的攻击。
更重要的是,根据Drupal开发团队的说法,该修复程序仅适用于运行update.php的受影响网站 – 这是升级到Drupal 8.7.5时所需的手动步骤。
对于启用了Workspaces模块的站点,需要运行update.php以确保清除所需的缓存。如果存在反向代理缓存或内容传送网络(例如Varnish,CloudFlare),也建议清除它们。 – Drupal团队
更新到8.7.5非常重要,因为攻击者可以通过访问URL来利用此漏洞,并且不需要注册或身份验证级别来滥用受影响的网站。
幸运的是,尚未提供此漏洞的漏洞利用,但是,如果开发人员,大多数运行在Drupal 8.7.4上的站点都将受到攻击,因为“默认或常见模块配置可被利用”。
可采取的缓解措施
对于无法立即更新其服务器上的Drupal安装的管理员,也可以使用缓解措施,最简单的方法是禁用受影响站点的Workspaces模块。
美国国土安全部网络安全和基础设施安全局(CISA)也发出警告,敦促Drupal管理员和用户升级到修补的Drupal 8.7.5版本。
目前,根据“Drupal核心使用情况统计数据”页面上提供的官方数据,大约290,958个网站正在使用Drupal 8.x,总数为1,093,220。
使用Drupal的网站
“这些统计数据不完整;只有使用更新状态模块的Drupal网站才包含在数据中。自6.x版以来,该模块已包含在Drupal的下载中,因此数据不包括较旧的网站,”Drupal补充道。
此外,在W3Techs跟踪内容管理系统(CMS)的所有网站中,1.8%使用Drupal,使其成为互联网上第三大受欢迎的CMS,仅次于Wordpress(34.2%)和Joomla(2.8%)。

姓 名:
邮箱
留 言: