Drupal修复了Drupalgeddon2的安全漏洞

Drupal CMS团队已经修复了一个非常关键的安全漏洞，该漏洞允许黑客通过访问URL来接管网站。Drupal网站所有者应该将他们的网站更新到Drupal 7.58或Drupal 8.5.1。Drupal团队上周早些时候宣布了该补丁，当时它表示“在今天披露后可能会在数小时或数天内开发漏洞”。该安全漏洞非常严重，Drupal团队将严重程度分数设置为21（1至25分）。

该漏洞根据CVE-2018-7600标识符进行追踪 – 允许攻击者运行他希望针对CMS核心组件的任何代码，从而有效地接管站点。攻击者无需在目标站点上进行注册或验证，攻击者必须做的就是访问URL。

Drupal社区已经在2014年披露的Drupalgeddon安全漏洞（CVE-2014-3704，SQL注入，严重性25/25）之后将Drupalgeddon2昵称为Drupalgeddon2，导致许多Drupal网站在未来几年遭到黑客入侵。

目前没有公开的概念验证或漏洞利用代码，但研究人员已经开始通过Drupal补丁进行挖掘，以确定补丁是什么。Drupal开发人员称Drupal安全审计公司Druid的员工Jasper Mattsson发现了这个漏洞。

Drupal团队表示，他们在发布安全警报时没有发现任何利用这个漏洞的攻击，但是官方Drupal团队中的每个人都向独立安全研究人员指出，这个漏洞会在几小时或几天内进入活动开发阶段。修补不应该被忽略。 即使是主要的Drupal主页今天也被拿下了半个小时来应用Drupalgeddon2补丁。

除了修复Drupal的两个主要分支-7.x和8.x之外，Drupal团队还宣布了2016年2月中止的古代6.x分支的补丁。预计Web防火墙产品将在接下来的几天内接收更新以处理开发尝试。Drupal开发者首先推荐补丁，但如果这不可能应用缓解解决方案，例如用静态HTML页面临时替换Drupal站点，那么易受攻击的Drupal站点将不会为访问者提供易受攻击的URL。

原文：https://www.bleepingcomputer.com/news/security/drupal-fixes-drupalgeddon2-security-flaw-that-allows-hackers-to-take-over-sites/