漏洞预警 Drupal core安(ān)全漏洞预警

2019年5月8日，Drupal官方发布了Drupal core第三方类库TYPO3/PharStreamWrapper 存在反序列化保护机制可(kě)被绕过导致遠(yuǎn)程代码执行的漏洞的公(gōng)告，官方编号：SA-CORE-2019-007漏洞公(gōng)告链接：https://www.drupal.org/sa-core-2019-007

根据公(gōng)告，Drupal core　7.x、8.x版本的依赖库组件Phar Stream Wrapper针对反序列化保护的拦截器可(kě)能(néng)被绕过，恶意攻击者通过构造含有(yǒu)恶意代码的Phar文(wén)件实现代码执行效果，从而影响到业務(wù)系统的安(ān)全性，漏洞CVE编号：CVE-2019-11831，建议尽快更新(xīn)到新(xīn)的无漏洞版本，第三方组件TYPO3/PharStreamWrapper相关漏洞公(gōng)告链接：https://typo3.org/security/advisory/typo3-psa-2019-007/

2
漏洞影响范围

CVE-2019-11831：第三方依赖库组件TYPO3/PharStreamWrapper反序列化保护机制可(kě)被绕过导致遠(yuǎn)程代码执行漏洞影响Drupal core7.x、8.x版本：

Drupal 7.x版本建议更新(xīn)到7.67以上版本，下载地址：https://www.drupal.org/project/drupal/releases/7.67

Drupal 8.6.x版本建议更新(xīn)到8.6.16以上版本，下载地址：https://www.drupal.org/project/drupal/releases/8.6.16

Drupal 8.7.x之前版本，建议更新(xīn)到8.7.1以上版本，下载地址：https://www.drupal.org/project/drupal/releases/8.7.1

注意：Drupal 8.6.x之前的版本已不再受安(ān)全更新(xīn)支持，建议更新(xīn)到8.6.x以上版本。

CVE-2019-11831：反序列化保护机制可(kě)被绕过导致遠(yuǎn)程代码执行漏洞影响TYPO3/PharStreamWrapper组件2.x和3.x版本，需要更新(xīn)：

2.x版本，建议更新(xīn)到2.1.1以上版本

3.x版本，建议更新(xīn)到3.1.1以上版本

下载地址：https://github.com/TYPO3/phar-stream-wrapper/releases

3
漏洞缓解措施

威胁等级

高危：目前Drupal core的第三方类库TYPO3/PharStreamWrapper组件漏洞攻击代码暂未公(gōng)开，但攻击者可(kě)以根据代码补丁比较方法分(fēn)析漏洞触发点，进一步开发漏洞利用(yòng)代码，建议及时升级安(ān)全更新(xīn)版本，或是部署必要的安(ān)全防护设备拦截基于PHP的危险代码。

威胁推演：此漏洞為(wèi)遠(yuǎn)程代码执行漏洞，基于全球使用(yòng)该产(chǎn)品用(yòng)户的数量，恶意攻击者可(kě)能(néng)会开发针对该漏洞的自动化攻击程序，实现漏洞利用(yòng)成功后植入后门程序，并进一步释放矿工(gōng)程序或是DDOS僵尸木(mù)马等恶意程序，从而影响到网站服務(wù)的正常提供。