Symfony漏洞讓Drupal站點容易受到黑客攻擊

現在是時候更新你的Drupal網站了。

Drupal是一個流行的開源內容管理系統，它發布了一個新版本來修補安全繞過漏洞，該漏洞可能允許遠程攻擊者控制受影響的網站。CVE-2018-14773漏洞，駐留在名為Symfony HttpFoundation組件的第三方庫中，該組件在Drupal Core中使用並影響8.5.6之前的Drupal 8.x版本。

由於Symfony（一個帶有一組PHP組件的Web應用程序框架）正在被許多項目使用，因此該漏洞可能會使許多Web應用程序面臨被黑客攻擊的風險。

Symfony組件漏洞

根據Symfony發布的一項advisory，安全繞過漏洞的起源是由於Symfony支持遺留和危險的HTTP頭部。

Symfony說，

支持（遺留）IIS標頭，允許用戶通過X-Original-URL或X-Rewrite-URL HTTP請求標頭覆蓋URL中的路徑，允許用戶訪問一個URL但讓Symfony返回另一個URL，可以繞過更高級別緩存和Web伺服器的限制。

遠程攻擊可以使用構造的「X-Original-URL」或「X-Rewrite-URL」HTTP標頭來利用，該值會覆蓋請求URL中的路徑，從而可能繞過訪問限制並導致目標系統呈現另一個URL。

這個漏洞已在Symfony版本2.7.49,2.8.44,3.3.18,3.4.14,4.0.14和4.1.3中修復，Drupal已在其最新版本8.5.6中修補了該問題。

Zend Framework中存在相同的漏洞

除了Symfony之外，Drupal團隊還發現Drupal Core中包含的Zend Feed和Diactoros庫中也存在類似的漏洞，他們將其命名為「URL Rewrite漏洞」。

然而，流行的CMS表示Drupal Core不會使用易受攻擊的功能，但建議用戶修補他們的網站，如果他們的網站或模塊直接使用Zend Feed或Diactoros。

Drupal為數百萬個網站提供支持，不幸的是，此CMS最近一直被一個名為Drupalgeddon2的高危遠程執行漏洞主動攻擊。

因此，在黑客開始利用新漏洞控制你的網站之前，強烈建議儘快更新你的網站。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！