跳转到主要内容

Drupal 安全漏洞紧急升级通知

Drupal 7.x和8.x的多个子系统中存在一个远程代码执行漏洞。 这可能会使攻击者利用Drupal站点上的多个攻击媒介,这可能会导致站点完全受到攻击。

关于这个漏洞问题,Drupal官方安全团队写了一个 Faq 问题列表。

解决方法:

关于近期版本的 Drupal 7.x 和 8.x 版本,官网都给出了一系列的解决方案。

  • Drupal 7.x 的站点就尽快升级至 Drupal 7.58,不方便升级也可以打这个patch
  • Drupal 8.5.x 的站点就尽快升级至 Drupal 8.5.1,不方便升级也可以打这个patch

虽然官网对 Drupal 8.3.x 和 8.4.x 已不再支持,但是也给出了这些版本的解决方案:

  • 8.3.x => 升级至 8.3.9,或者打这个patch
  • 8.4.x => 升级至 8.4.6,或者打这个patch

(备注:其实上面这几个 8.x.x 的补丁是一样的。不方便直接升级的情况可能有:大型企业官网涉及到流程审批繁琐或者要花大量时间精力测试兼容问题等。)

这个安全漏洞问题也影响到 Drupal 8.2.x 和之前的版本,但是他们都不再被官方支持,建议升级至近期的版本,再参照上述步骤升级吧。

这个问题也会影响到 Drupal 6.x 的版本,但是 Drupal 6 官网早已宣告不再支持,可以通过 D6LTS 第三方团队来寻求支持。

原文链接:Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

文章分类