排名全球第三大内容管理系统的Drupal近日传出含有一个远端攻击漏洞,且被列为严重等级最高的安全漏洞,可被用来执行本地文件包含(Local△file△inclusion△on△Windows)攻击、假冒攻击与权限扩张攻击,危害整个Drupal网站。
Drupal为一以PHP撰写的开源内容管理框架,根据网络技术调查机构W3Techs的调查,Drupal名列全球第三大内容管理系统,市占率为4.4%,落后WordPress的60.2%与Joomla的6.3%。
此一编号为CVE-2018-7600的安全漏洞影响Drupal△6、Drupal△7与Drupal△8,且在最高25分的安全风险评分中取得了23分。根据Drupal组织的说明,该漏洞非常容易开采,只要要一般权限造访Drupal网页就能开采,所有的非公开资料都可被存取,也可更改或删除系统资料,幸好现阶段尚未传出任何攻击行动。根据Drupl官网上使用者数据来估计,全球约有超过100万个Drupal网站受到影响。
Drupal组织已释出更新以修补Drupal△6长期支援版(LTS),也释出了Drupal△7.58供7.x客户更新,另有供8.5.x客户升级的Drupal△8.5.1。此外,虽然该组织已不支援Drupal△8.3.x及8.4.x,但有鉴于此一漏洞的严重性,决定破例修补这两个版本,同时建议Drupal用户最好升级到8.5.x。
I 相关 / Other
补补终于得正!微软修补了“因Meltdown修补反而出现的Windows 7漏洞”
微软周四发布每月更新以外的Windows更新,以修补1、2月Meltdown更新对Windows△7及Server△2008造成的新漏洞。KB4100480版本(windows6.1-kb4100480-x64_8ee0dd707a58fb4fd089c4ac9e8c66403fce4421.msu)更新修补的是
SpaceX取得卫星宽频网络营业执照,将于全球部署逾4000个通讯卫星
示意图,与新闻事件无关。 图片来源: SpaceX 美国联邦通讯委员会(Federal△Communications△Commission,FCC)在本周正式核准SpaceX以卫星技术提供美国与全球的宽频服务,而SpaceX也是美国首家采用新一代低轨(lo
快修补!思科爆重大远端程式码执行漏洞,850万台交换器拉警报
图片来源: Cisco 思科本周发布安全公告,修补22项软件漏洞,包括1项可能导致阻断攻击或远端程式码执行的交换器软件漏洞。思科3月28日发布半年一次的Cisco△IOS△及IOS△XE△软件安全公告,包含20项安全更新,修补22项
近日,广东省深圳市南山区人民法院对吴某、杨某利用手机共享单车APP漏洞,盗窃用户账户余额和收益一案进行了一审宣判,判处被告人吴某有期徒刑六个月,并处罚金1000元;杨某拘役四个月,并处罚金1000元。利用手机APP
预设启用WebRTC功能的浏览器列表。 VPN用户要小心了,你用的VPN服务可能意外的泄漏了你的真实IP位置。资安研究员发现,市面上有23%的VPN服务,通过浏览器的WebRTC技术泄漏使用者的真实IP位置,不幸的是WebRTC在主