内容简介:开发人员和安全研究人员警告说,运行Drupal,Joomla或Typo3内容管理系统的网站很容易受到可能执行恶意代码的攻击,除非管理员安装刚刚发布的补丁。该漏洞存在于PharStreamWrapper中,这是一个由CMS制造商Typo3开发和开源的PHP组件。编号为
开发人员和安全研究人员警告说,运行Drupal,Joomla或Typo3内容管理系统的网站很容易受到可能执行恶意代码的攻击,除非管理员安装刚刚发布的补丁。
该漏洞存在于PharStreamWrapper中,这是一个由CMS制造商Typo3开发和开源的 PHP 组件。编号为 CVE-2019-11831 ,该漏洞源于路径遍历Bug,允许黑客将网站的合法phar存档与恶意存档交换。 phar存档用于在单个文件中分发完整的PHP应用程序或库,就像 Java 存档文件将许多Java文件捆绑到单个文件中一样。
CentOS 7.5 安装部署 Drupal 8.6.4 图文详解 https://www.linuxidc.com/Linux/2018-12/155859.htm
许多网站受到Drupal中极为严重的代码执行错误的威胁
在周三发布的一份咨询报告中,Drupal 开发者将这个漏洞标记中等危险级别,尽管不是高危,网站管理员还是应该尽可能快的打上补丁。发现该漏洞的安全研究员认为该漏洞属于高危。
le Gall是瑞士SCRT SA的一名研究人员,他使用Drupal发布的严重性评级方法进行计算,得出了漏洞应该被评为危急级别的结论。不过,他同意CVE-2019-11831远远低于以前Drupal bug的阈值,没有特权的终端用户访问脆弱的站点时可能会利用这些bug。
他说:“对于没有插件的默认Drupal(网站),它要求(网站)有一个正确使用‘管理主题’的用户,这是一个很高的先决条件。”这意味着攻击者必须具有有限的管理员特权,比如授予营销人员或图形设计人员的权限。
“然而,由于Drupal Core的这个漏洞,一些社区模块可能很脆弱,”他补充说。 “一旦获得这些权限,该漏洞很容易被利用,但是,有效地导致远程代码执行。”
与此同时,Joomla开发商在周三发布了自己的咨询报告,将严重程度评为低。 Typo3开发人员没有为自己的CMS提供严重等级。
运行 Drupal 8.7 的网站需要升级到 8.7.1,8.6 或更早版本的网站需要更新到 8.6.16,7 需要升级到 7.67。Joomla 需要升级到 3.9.6。
在Joomla上,这个漏洞影响了版本3.9.3到3.9.5。该修复程序在3.9.6中提供。
Typo3 CMS用户应手动升级到PharStreamWapper版本v3.1.1和v2.1.1,或确保将Composer依赖性提升到这些版本。
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-05/158667.htm
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 60% 的企业代码库包含开源漏洞
- Sonatype报告显示 - 开源漏洞增加了71%
- 微软修改开源代码,导致 Windows Defender 出现漏洞
- PocSuite3:一款开源远程漏洞测试框架
- CVE-2018-16858:开源office套件远程代码执行漏洞
- 2018开源代码安全报告:每个代码库平均包含64个漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
大数据时代
[英] 维克托•迈尔•舍恩伯格(Viktor Mayer-Schönberger) / 周涛 / 浙江人民出版社 / 2012-12 / 49.90元
《大数据时代》是国外大数据研究的先河之作,本书作者维克托•迈尔•舍恩伯格被誉为“大数据商业应用第一人”,拥有在哈佛大学、牛津大学、耶鲁大学和新加坡国立大学等多个互联网研究重镇任教的经历,早在2010年就在《经济学人》上发布了长达14页对大数据应用的前瞻性研究。 维克托•迈尔•舍恩伯格在书中前瞻性地指出,大数据带来的信息风暴正在变革我们的生活、工作和思维,大数据开启了一次重大的时代转型,并用三......一起来看看 《大数据时代》 这本书的介绍吧!
