企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    安全通告

    近日，奇安信CERT监测到Drupal官方发布通告，由于Drupal使用Guzzle库来处理对外部服务的HTTP请求和响应，因而会受到Guzzle信息泄露漏洞（包括CVE-2022-31042和CVE-2022-31043）的影响，攻击者可利用这些漏洞泄露cookie或Authorization标头。目前，官方已有可更新版本，建议用户尽快升级至最新版本。

    1.DrupalGuzzle信息泄露漏洞(CVE-2022-31042)

    2.DrupalGuzzle信息泄露漏洞(CVE-2022-31043)

    风险等级

    奇安信CERT风险评级为：高危

    风险等级：蓝色（一般事件）

    威胁评估

    1.DrupalGuzzle信息泄露漏洞(CVE-2022-31042)

    2.DrupalGuzzle信息泄露漏洞(CVE-2022-31043)

    处置建议

    请尽快升级至安全版本：

    1.如果您使用的是Drupal9.4，请更新到Drupal9.4.0-rc2

    2.如果您使用的是Drupal9.3，请更新到Drupal9.3.16

    3.如果您使用的是Drupal9.2，请更新到Drupal9.2.21

    请注意，9.2.x之前的所有Drupal9版本都已结束生命周期，Drupal8已经停止维护。Drupal7不受漏洞影响。

    高级用户也可以通过暂时使用drupal/core而不是drupal/core-recommended然后将Guzzle更新到所需版本来解决此问题（Guzzle用户可升级至Guzzle6.5.7或7.4.4安全版本）。

    用户可参考以下链接获取更多信息：

    https://www.drupal.org/sa-core-2022-011

    参考资料

    [1]https://www.drupal.org/sa-core-2022-011

    [2]https://github.com/guzzle/guzzle/security/advisories/GHSA-f2wf-25xc-69c9

    [3]https://github.com/guzzle/guzzle/security/advisories/GHSA-w248-ffj2-4v5q

    时间线

    2022年6月14日，奇安信CERT发布安全风险通告

    到奇安信NOX-安全监测平台查询更多漏洞详情