您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

Drupal修補遠端程式攻擊漏洞

全球第三大內容管理系統(Content Management System, CMS) Drupal,2/20釋出重大安全漏洞之修補程式,該漏洞允許遠端駭客執行任意程式,並取得Drupal網站的控制權。根據WebsiteSetup於2018年12月的統計,全球約16.5億個網站,當中有一半採用CMS進行建置,在CMS市場上,市占率最高的是WordPress占60%,居次的是Joomla占6.6%,Drupal則以4.6%名列第三,意味著約3,700萬個網站採用Drupal。

Drupal說明,編號CVE-2019-6340的安全漏洞,肇因於某些類型的欄位無法適當地處理非表格來源的資料,在某些情況下將允許駭客自遠端執行PHP程式,因而將它列為高度重大(Highly Critical)漏洞。Drupal已修補相關漏洞,建議Drupal 8.6.x用戶升級到Drupal 8.6.10,Drupal 8.5.x用戶升級到Drupal 8.5.11,不過8.5.x以前的Drupal 8版本雖然也受到該漏洞影響,但因其產品壽命週期已經結束,Drupal並未製作8.5.x以前的修補程式。若要立即緩解該漏洞,則可關閉所有的Web服務模組,或是變更Web伺服器配置,禁止以PUT/PATCH/POST請求Web服務資源。雖然該漏洞在某些特定的配置下才會形成漏洞,包括在Drupal 8上啟用RESTful Web服務模組,同時允許PATCH或POST請求;或是啟用其它Web服務模組,如在Drupal 8上啟用JSON:API,或在Drupal 7上啟用Services或RESTful,但Drupal建議所有使用者須儘速更新Drupal版本,以確保安全。

Reference

資料來源:
https://arstechnica.com/information-technology/2019/02/millions-of-websites-threatened-by-highly-critical-code-execution-bug-in-drupal/
https://www.drupal.org/sa-core-2019-003
https://websitesetup.org/popular-cms/
https://www.ithome.com.tw/news/128907
技術服務中心整理

Publish Date
2019/3/5 0:00:00