在垃圾邮件活动中利用Drupal Patches漏洞

  • 时间:
  • 浏览:27
  • 来源:it300
在垃圾邮件活动中利用Drupal Patches漏洞

周三发布的Drupal安全更新解决了一些漏洞,其中包括一个在垃圾邮件活动中被利用的漏洞。

随着Drupal版本7.56和8.3.4的发布,在野外开发的漏洞是CVE-2017-6922追踪的中度关键访问绕过漏洞。

问题是匿名用户上传到私有文件系统的文件可以被所有匿名用户访问,而不仅仅是上传它们的用户,应该如此。安全漏洞只影响允许匿名用户将文件上传到私人文件系统的网站。

Drupal已经知道自2016年10月以来利用此漏洞的攻击。当时,它警告错误配置的网站被滥用恶意演员托管文件和point用户和搜索引擎。 Drupal 7和8的最新更新引入了一个应该防止利用的保护。

“例如,如果一个webform配置为允许匿名访问者将图像上传到公共文件系统,那么该图像将是可访问的互联网上的任何人。该网站可能被攻击者用来托管合法网站维护者不希望通过他们的网站公开提供的图像和其他文件,“Drupal安全团队在其2016年10月的公告中说道。

Drupal 8.3。 4还修补了与PECL YAML解析器如何处理不安全对象相关的关键问题。攻击者可以利用该漏洞进行跟踪,如CVE-2017-6920,用于远程执行代码。

Drupal 8中修复的另一个漏洞是文件ss关键不正确的字段验证错误(CVE-2017-6921)。

“如果站点启用了RESTful Web服务(休息)模块,则网站仅受此影响,文件REST资源已启用并允许PATCH请求,攻击者可以在网站上获取或注册用户帐户,并具有上传文件和修改文件资源的权限,“Drupal在其公告中说。

Drupal Security Team警告用户4月份,一个严重漏洞影响了名为References的第三方模块,该模块已被超过121,000个网站使用。该模块已不再受支持,Drupal最初建议用户迁移到其他产品。然而,一位新的维护者不久后接管了该项目并解决了这个问题。

相关:最近在野外开发的Patup Drupal Flaw

相关:Drupal 8

中修补的几个漏洞相关:Drupal Patches关键访问绕过漏洞

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01