时间:2022-06-14 作者:奇安信CERT
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
安全通告
近日,奇安信CERT监测到Drupal官方发布通告,由于Drupal使用Guzzle库来处理对外部服务的HTTP请求和响应,因而会受到Guzzle信息泄露漏洞(包括CVE-2022-31042和CVE-2022-31043)的影响,攻击者可利用这些漏洞泄露cookie或Authorization标头。目前,官方已有可更新版本,建议用户尽快升级至最新版本。
1.DrupalGuzzle信息泄露漏洞(CVE-2022-31042)
2.DrupalGuzzle信息泄露漏洞(CVE-2022-31043)
风险等级
奇安信CERT风险评级为:高危
风险等级:蓝色(一般事件)
威胁评估
1.DrupalGuzzle信息泄露漏洞(CVE-2022-31042)
2.DrupalGuzzle信息泄露漏洞(CVE-2022-31043)
处置建议
请尽快升级至安全版本:
1.如果您使用的是Drupal9.4,请更新到Drupal9.4.0-rc2
2.如果您使用的是Drupal9.3,请更新到Drupal9.3.16
3.如果您使用的是Drupal9.2,请更新到Drupal9.2.21
请注意,9.2.x之前的所有Drupal9版本都已结束生命周期,Drupal8已经停止维护。Drupal7不受漏洞影响。
高级用户也可以通过暂时使用drupal/core而不是drupal/core-recommended然后将Guzzle更新到所需版本来解决此问题(Guzzle用户可升级至Guzzle6.5.7或7.4.4安全版本)。
用户可参考以下链接获取更多信息:
https://www.drupal.org/sa-core-2022-011
参考资料
[1]https://www.drupal.org/sa-core-2022-011
[2]https://github.com/guzzle/guzzle/security/advisories/GHSA-f2wf-25xc-69c9
[3]https://github.com/guzzle/guzzle/security/advisories/GHSA-w248-ffj2-4v5q
时间线
2022年6月14日,奇安信CERT发布安全风险通告
到奇安信NOX-安全监测平台查询更多漏洞详情
95015服务热线
微信公众号