站长们注意啦！开源CMS Drupal 8发布更新修复多处高危漏洞补丁，提示您升级

点击查看全文

据外媒报道， Drupal 研究人员于 8 月 16 日发布安全报告，宣称已修复
Drupal 8 多处漏洞并在线更新安全补丁。研究显示这些漏洞影响 Drupal 8 多个系统组件，包括实体访问系统、REST API 与部分视图组件。 
 
○ CVE-2017-6925 
研究人员发现 Drupal 8.3.7 中存在一处高危漏洞（CVE-2017-6925），影响实体访问系统，允许攻击者查看、创建、删除或更新实体。不过，该漏洞仅影响不具备 UUID 实体，以及对同一实体不同版本有多种访问限制的实体系统。 
 
 
○ CVE-2017-6924 
在 Drupal 8 中存在另一绕过访问权限的关键漏洞（CVE-2017-6924），即当无访问权限的任何用户驻留在 REST API 时，允许通过 REST 发布评论。目前，此漏洞已被评估为高危漏洞，因为它影响具有 RESTful Web 服务模块与启用注释实体
REST 资源的站点。 
 
○ CVE-2017-6923 
在 Drupal 8 中还存在另一关键漏洞（CVE-2017-6923）影响视图组件。当用户创建视图时，可以选择使用 Ajax 通过过滤器参数更新数据。不过，视图子模块仅对配置为
Ajax 的视图进行访问。如果用户对视图具有访问限制，那么可以减轻系统损失，即使用户正使用另一模块显示。 
 
 
目前，Drupal 官方安全研究人员建议用户尽快全盘检测系统并将
Drupal 升级至最新版本。 
点击可查看Drupal官方公告详情  
受影响版本: 
Drupal core 8.x 版本和 8.3.7之前的版本 
安全版本: 
Drupal 7 core不受影响 
安全方案: 
阿里云安全团队建议使用了Drupal
8的用户关注并及时更新到官方最新版8.3.7 。 
情报来源: 

HackerNews:http://hackernews.cc/archives/13634

点击查看全文