Drupal网站管理员们请注意:Symfony漏洞会让你的网站沦陷!

各位Drupal网站的管理员们请注意,请赶紧更新Drupal网站版本。
Drupal是一款开源的内容管理系统,Drupal项目组目前已经发布了一个更新补丁来修复其软件中的一个安全绕过漏洞,而这个漏洞将允许远程攻击者拿到目标站点的完整控制权。

这个漏洞编号为CVE-2018-14773,该漏洞存在于Drupal框架的第三方组件代码库中,这个组件名叫Symfony HttpFoundation,目前主要使用在Drupal Core之中,版本号在8.5.6之前的Drupal 8.x版本都会受到该漏洞的影响。

由于Symfony这款Web应用程序框架拥有多个PHP组件,它目前也应用到了很多开源项目之中,因此这个漏洞的出现也会导致很多其他的Web应用程序处于安全风险之中。

Symfony组件漏洞
根据Symfony发布的安全公告,这个安全绕过漏洞之所以会存在,主要是因为Symfony的某些遗留功能以及不安全的HTTP头所导致的。Symfony组件支持ISS头,而这种功能将允许用户通过X-Original-URL或X-Rewrite-URL HTTP请求头重写请求URL中的路径,并绕过Symfony的请求路径限制,从而访问到目标Web服务器中的缓存数据。

远程攻击者可以手动指定’X-Original-URL’或’X-Rewrite-URL’ HTTP头的值,并修改请求URL中的路径,从而绕过目标Web服务器的访问限制,并让目标系统呈现不同的URL地址。

目前为止,Symfony的2.7.49, 2.8.44, 3.3.18, 3.4.14,4.0.14和4.1.3版本都已经成功修复了该漏洞,而Drupal也已经在其最新版本8.5.6中修复了这个问题。

Zend框架同样存在这个漏洞
除了Symfony之外,Drupal段对还在Zend Feed和Diactoros代码库中发现了相同的安全漏洞,他们还将这个漏洞命名为了“URL重写漏洞”。

不过,虽然目前的Drupal Core并没有使用到存在安全漏洞的功能,但是他们仍建议广大用户尽快更新自己的Drupal版本,如果网站直接使用到了Zend Feed或Diactoros模块,那就请不要犹豫,现在立刻马上更新Drupal!

后话
Drupal目前驱动着全球范围内的数百万个网站,但庆幸的是Drupal CMS可以对漏洞进行快速修复,Drupal网站或者系统管理员们需要尽快根据官方要求进行修复,可以从程序层面确保安全。另外的,安全是一个多维度问题,涉及到网络安全、服务器安全、操作系统安全、数据库安全、程序安全等多方面,所以,针对对企业来说较重要的网站,都应该尽量有专业的人员进行维护。