Drupal 发布了安全公告以应对发现于 Drupal Core 及 PEAR Archive_tar 程式库中的多个漏洞,通过认证的攻击者可从受影响系统的本机PHP档案或PHAR存档中执行任意程式码。
Drupal 8在8.5.x之前的版本亦存在漏洞,唯Drupal已停止向这些版本提供支援,并不会提供安全更新。用户应把Drupal升级至支援的版本或安排转致其他支援的技术。
成功攻击这些漏洞可导致在受影响的系统上远端执行程式码。
產品供應商發布了修補程式以應對以上問題。
https://www.drupal.org/sa-core-2019-001
https://www.drupal.org/sa-core-2019-002
https://www.hkcert.org/my_url/zh/alert/19011701
https://www.us-cert.gov/ncas/current-activity/2019/01/16/Drupal-Releases-Security-Updates
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000888