ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → CVE-2018-14773 Symfony HttpFoundation组件漏洞 黑客可完全控制Drupal网站

CVE-2018-14773 Symfony HttpFoundation组件漏洞 黑客可完全控制Drupal网站

时间:2018-08-03 00:00:00人气:作者:本站作者我要评论

Symfony HttpFoundation组件中的漏洞被追踪为CVE-2018-14773,可被攻击者利用来完全控制受影响的Drupal网站。

Drupal的维护人员通过发布新版本的流行内容管理系统8.5.6版来解决安全绕过漏洞。

CVE-2018-14773 Symfony HttpFoundation组件漏洞 黑客可完全控制Drupal网站

“Drupal项目使用Symfony库。Symfony库发布了一个影响Drupal的安全更新。有关该问题,请参阅 Symfony安全通报。Drupal核心中包含的Zend Feed和 Diactoros 库中也存在相同的漏洞; 但是,Drupal核心并没有使用易受攻击的功能。“阅读Drupal发布的咨询报告。

“如果您的站点或模块直接使用Zend Feed或 Diactoros ,请 阅读Zend Framework安全建议 并根据需要进行更新或修补。”

Symfony HttpFoundation组件是Drupal Core中使用的第三方库,该缺陷会影响8.5.6之前的Drupal 8.x版本。

Symfony是许多项目正在使用的Web应用程序框架,这意味着CVE-2018-14773漏洞可能会影响大量Web应用程序。

该缺陷是由于Symfony支持遗留和危险的HTTP标头。

“支持(遗留)IIS标头,允许用户通过X-Original-URL或X-Rewrite-URL HTTP请求标头覆盖请求URL中的路径,允许用户访问一个URL但让Symfony返回另一个URL可以绕过对更高级别缓存和Web服务器的限制。“阅读Symfony发布的安全公告。

“该修复程序删除了对这两个过时的IIS头文件的支持:X-Original-URL和X_REWRITE_URL。”阅读安全公告发布的Symfony。

远程攻击可以通过使用特制的“X-Original-URL”或“X-Rewrite-URL”HTTP标头值来触发该缺陷。

根据Symfony发布的安全公告,版本2.7.49,2.8.44,3.3.18,3.4.14,4.0.14和4.1.3解决了这个漏洞。

Drupal维护者也发现了一个类似的问题

影响了Drupal Core中使用的  Zend Feed  和 Diactoros 库。这些库受到“URL重写漏洞”的影响,无论如何,Drupal团队确认  Drupal Core不使用易受攻击的功能。

使用Zend Feed或Diactoros的网站的管理员需要尽快修补它们。

在黑客开始利用CVE-2018-14773漏洞之前,Drupal管理员需要紧急修补他们的安装。

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网