2018年3月29日，国家信息安全漏洞共享平台（CNVD）收录了Drupal core远程代码执行漏洞（CNVD-2018-06660，对应CVE-2018-7600）。综合利用上述漏洞，攻击者可实现远程代码执行攻击。目前，漏洞细节尚未公开。

 

        一、漏洞情况分析

 

        Drupal是一个由Dries Buytaert创立的自由开源的内容管理系统，用PHP语言写成。在业界Drupal常被视为内容管理框架，而非一般意义上的内容管理系统。

 

        Drupal 6，7，8多个子版本存在远程代码执行漏洞，远程攻击者可利用该漏洞执行任意代码，从而影响到业务系统的安全性。

 

        CNVD对上述漏洞的综合评级为“高危”。

 

        二、漏洞影响范围

 

        Drupal的6.x，7.x和8.x版本受此漏洞影响。

 

        CNVD秘书处对该系统在全球的分布情况进行了统计，全球系统规模约为30.9万，用户量排名前五的分别是美国（48.5%）、德国（8.1%）、法国（4%）、英国（3.8%）和俄罗斯（3.7%），而在我国境内的分布较少（0.88%）。

 

        三、漏洞修复建议

 

        目前，厂商已发布补丁和安全公告以修复该漏洞，具体修复建议如下：

 

        1）推荐更新

 

        主要支持版本推荐更新到Drupal相应的最新子版本。

 

        7.x版本更新到7.58

 

        更新地址：https://www.drupal.org/project/drupal/releases/7.58

 

        8.5.x版本更新到8.5.1

 

        更新地址：https://www.drupal.org/project/drupal/releases/8.5.1

 

        8.4.x版本更新到8.4.6

 

        更新地址：https://www.drupal.org/project/drupal/releases/8.4.6

 

        8.3.x版本更新到8.3.9

 

        更新地址：https://www.drupal.org/project/drupal/releases/8.3.9

 

        2）使用patch更新

 

        如果不能立即更新，请使用对应patch。

 

        8.5.x，8.4.x，8.3.x patch地址：

 

        https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

 

        7.x patch地址：

 

       https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

 

        3）其他不支持版本

 

        Drupal 8.0/8.1/8.2版本已彻底不再维护，如果还在使用这些版本的Drupal，请尽快更新到8.3.9或8.4.6版本。

 

        Drupal 6也受到漏洞影响，此版本由Drupal 6 Long Term Support维护。

 

        参考 https://www.drupal.org/project/d6lts

 

        附：参考链接：

 

        https://www.drupal.org/sa-core-2018-002

 

        https://groups.drupal.org/security/faq-2018-002

 

        http://www.cnvd.org.cn/flaw/show/CNVD-2018-06660