CVE-2018-14773 Symfony HttpFoundation组件漏洞 黑客可完全控制Drupal网站

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。

Symfony HttpFoundation组件中的漏洞被追踪为CVE-2018-14773,可被攻击者利用来完全控制受影响的Drupal网站。

Drupal的维护人员通过发布新版本的流行内容管理系统8.5.6版来解决安全绕过漏洞。

CVE-2018-14773 Symfony HttpFoundation组件漏洞 黑客可完全控制Drupal网站

“Drupal项目使用Symfony库。Symfony库发布了一个影响Drupal的安全更新。有关该问题,请参阅 Symfony安全通报。Drupal核心中包含的Zend Feed和 Diactoros 库中也存在相同的漏洞; 但是,Drupal核心并没有使用易受攻击的功能。“阅读Drupal发布的咨询报告。

“如果您的站点或模块直接使用Zend Feed或 Diactoros ,请 阅读Zend Framework安全建议 并根据需要进行更新或修补。”

Symfony HttpFoundation组件是Drupal Core中使用的第三方库,该缺陷会影响8.5.6之前的Drupal 8.x版本。

Symfony是许多项目正在使用的Web应用程序框架,这意味着CVE-2018-14773漏洞可能会影响大量Web应用程序。

该缺陷是由于Symfony支持遗留和危险的HTTP标头。

“支持(遗留)IIS标头,允许用户通过X-Original-URL或X-Rewrite-URL HTTP请求标头覆盖请求URL中的路径,允许用户访问一个URL但让Symfony返回另一个URL可以绕过对更高级别缓存和Web服务器的限制。“阅读Symfony发布的安全公告。

“该修复程序删除了对这两个过时的IIS头文件的支持:X-Original-URL和X_REWRITE_URL。”阅读安全公告发布的Symfony。

远程攻击可以通过使用特制的“X-Original-URL”或“X-Rewrite-URL”HTTP标头值来触发该缺陷。

根据Symfony发布的安全公告,版本2.7.49,2.8.44,3.3.18,3.4.14,4.0.14和4.1.3解决了这个漏洞。

Drupal维护者也发现了一个类似的问题

影响了Drupal Core中使用的  Zend Feed  和 Diactoros 库。这些库受到“URL重写漏洞”的影响,无论如何,Drupal团队确认  Drupal Core不使用易受攻击的功能。

使用Zend Feed或Diactoros的网站的管理员需要尽快修补它们。

在黑客开始利用CVE-2018-14773漏洞之前,Drupal管理员需要紧急修补他们的安装。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz
CE安全网

发表评论

您必须登录才能发表评论!