发布日期：2019-12-20
更新日期：2019-07-31

受影响系统：

Drupal Drupal 8.8.x<8.8.1
Drupal Drupal 8.7.x<8.7.11
Drupal Drupal 7.x<7.69

不受影响系统：

Drupal Drupal 8.8.1
Drupal Drupal 8.7.11
Drupal Drupal 7.69

描述：

---

Drupal是由德赖斯·布伊泰尔特创立的自由开源内容管理系统，用PHP语言写成。

Drupal使用的第三方库 Archive_Tar 中存在漏洞，该库被用于创建、提取和添加tar文件。在Archive_Tar解压带有符号链接文档的过程中存在问题，一旦被成功利用，攻击者便可通过上传恶意的tar文件来覆盖目标服务器上的敏感文件。

<*来源：vendor
  *>

建议：

---

厂商补丁：

Drupal
------
官方已为受影响产品提供了修复漏洞的最新版本。请相关用户尽快前往官网下载更新防范风险。

另，官方为部分漏洞也提供了缓解措施：

中危访问绕过漏洞
可以通过取消选中/admin/config/media/media-library 上“启用高级用户界面”复选框来缓解此漏洞。（此缓解措施在8.7.x中不适用）

中危拒绝服务漏洞
如果不需要，可以禁止对install.php的访问。

参考链接

Drupal 7.69 下载地址：

https://www.drupal.org/project/drupal/releases/7.69

Drupal 8.7.11下载地址：

https://www.drupal.org/project/drupal/releases/8.7.11

Drupal 8.8.1下载地址：

https://www.drupal.org/project/drupal/releases/8.8.1

浏览次数：1265
严重程度：0（网友投票）